Usa mysql_escape_string() sui dati che devi passare alla query. Il tutto presupponendo che tu abbia i magic quotes a off, come deve essere perché altrimenti non avresti il problema.