str_replace("'"," ",$string);

deve essere

$string = str_replace("'"," ",$string);

comunque per evitare sql injection c'è già mysql_real_escape_string(), o meglio mysqli_real_escape_string()