usa la funzione mysql_real_escape_string e sei a posto; prima però assicurati di avere aperto una connessione corretta al db.

ciao