ciao

in breve ti consiglio di utilizzare la funzione mysql_escape_string (vedi il manuale su php.net)

però ti dico anche di informarti sulla direttiva magic_quotes_gpc e addslashes