devi utilizzare la funzione nativa mysql_real_escape_string() , che ti permette di fare gli escape dei caratteri speciali presenti in una stringa durante l'inserimento nel db.


Codice PHP:
$descrizionemysql_real_escape_string($_POST['descrizione']);