Hai provato con addslashes ?

So che non usi mysql, però potresti crearti una funzione personalizzata simile a mysql_real_escape_string per l'escape delle variabili stringa.

Per le variabili il cui valore aspettato è un intero ti consiglio il type casting con (int), per esempio:

Codice PHP:
$idriparazione = isset($_GET['id_riparazione']) ? (int)$_GET['id_riparazione'] : 0
e mentre che ci sei, usa isset, per evitare di ricevere warning.
Fammi sapere.
Ciao