Forse ho capito male, ma non ti basta fare l'escape della stringa pima di passarla al db?

Ipotizzando che tu stia usando mysql e la libreria mysqli puoi usare la funzione: mysqli_real_escape_string()
Qui la documentazione: http://us3.php.net/manual/en/mysqli....ape-string.php