Я не уверен какой использовать в этой ситуации ???
$query1 = "SELECT * FROM messages WHERE
messages.custid='".htmlspecialchars($_SESSION['customerid'])."'
ORDER BY messages.id LIMIT $start, $limit ";
используйте mysql_real_escape_string .. Но на самом деле, не делайте этого
вместо этого установите библиотеку Pear PDO, затем используйте подготовленный оператор для вашего запроса
mysql_real_escape_string() сделан специально для таблиц Mysql, как следует из названия ;-)