dovresti postare la query generata e il codice utilizzato... cmq sarebbe opportuno usare l'apposita funzione di escape, v. mysql_real_escape_string