Originariamente inviato da k.b
Ti consiglio di verificare manualmente ogni valore inviato via POST, e soprattutto di non usare indiscriminatamente cio' che POST contiene per generare una query. Anche senza considerare SQL injection o altri problemi di sicurezza, e' sufficiente che un client ti invii un campo in piu' per generare una query non valida.

La query devi costruirla tu (possibilmente con i prepared statements), ed inserire i valori che hai ricevuto e verificato.
ok tnx

scusa consa sono i prepared statements

intendi tipo mysql_real_escape_string?