Questa è una soluzione casereccia, non ti permette di evitare l'sql injection.
Per evitarlo devi utilizzare mysql_escape_string o una funzione simile.