codice:
$query = "INSERT INTO tabella (campo) VALUES ('".addslashes($val)."');
Attenzione, usa sempre addslashes (o mysql_escape_string che è propria di mysql), anche quando fai le select, altrimenti un utente smaliziato usando la sintassi di mysql potrebbe modificare la query a suo piacimento.

Un esempio di questo può essere quando a seguito di in un form di login esegui (sbagliando!) una query del genere:

codice:
SELECT * FROM utenti WHERE user='$user' && pass='$pass'
se io nel tuo form inserisco come utente:

pippo

e come pass

"prot' OR 1=1 --"

modifico la query in modo che risulti cosi:

codice:
SELECT * FROM utenti WHERE user='pippo' && pass='prot' OR 1=1 --'
(il -- è il commento in mysql, escludo quindi tutto quello che viene dopo).

Se vuoi approfondire l'argomento cerca "sql injection" in google

ciao