scusa ho postato una delle innumerevoli prove
quella corretta è quella con \ prima dell'apice

$sql = "INSERT INTO news (nw_focus,nw_titolo, nw_testo, nw_img, nw_stato, nw_data) values ('" . $_POST["focus"] . "','" . $_POST["titolo"] . "', '" . str_replace("'", "\'", $testo) . "', '$img', 2,CURDATE())";