nella pagina che raccoglie i dati controllo sempre che esistano le variabili (salsa mai salsa)

if (isset($HTTP_POST_VARS['variabile_via_post'])

uso sempre la sintassi $HTTP_POST_VARS etc etc forse antica forse prolissa ma ormai mi ci sono affezionato che ci vuoi fare.

una volta che hai tutti i dati controlla quali sono stringhe e passali da una funzione che sistema i caratteri.

io uso queste:

function stripcslashesandquote($x)
{
return str_quoted(stripcslashes($x));
}

function str_quoted( $x )
{
return "'" . str_replace ("'", "''", $x) . "'";
}

una volta finito fai un echo della query e controlla che sia corretta.

ciao
t.