praticamente ti sei quasi fatto una sql injection da solo

fai un mysql_real_escape_string() sul dato prima di usarlo nella query, e uno stripslashes prima di rimandarlo in output.