Größter Müll den ich je gesehen habe!

$x = str_replace("--", '--', $x);
Einfacher kann man auch schreiben:
$x = $x;

Das Ding schütz vor _garnichts_ - nichteinmal Ansatzweise.

Entweder Prepared Statements oder einfach sauber Programmieren...