Consulta il manuale per la funzione

mysql_escape_string($str)

racchiudi i nomi delle variabili fra ' dopo l'uguale e sicuramente risolvi

Ciao!