二つ質問があります
・関数の戻り値をリファレンスで受け取りたい場合、
function &hoge() {
とするだけで良いのですか?受け取る時
$hage =& hoge();
もしなくてはいけないですか?

・SQLインジェクション対策に、入力値検査に加えて、MySQLならmysql_real_escape_stringし、%を\%にすれば、少しは大丈夫だと言えますか?