Esistono gli appositi comandi per fare l'escape di tali caratteri:

Codice PHP:
        $value mysql_real_escape_string($value);