Prima di passare la variabile al database filtrala attraverso la funzione:
codice:
$nome_variabile = mysql_real_escape_string($nome_variabile);