Ti consiglio di iniziare leggendo il manuale ufficiale, con particolare attenzione al concetto di escaping:

http://www.php.net/manual/en/language.types.string.php