il db sa gestire la cosa forse...

REQUEST è l'array che contiene get e post... nn sapendo quale metodo usassi....

codice:
function change ($stringa){  
return str_replace("\\'","",$stringa); 
} 
$new_citta = change($_POST['citta']); 
$new_nome = change($_POST['nome']); 

//NUOVO NOME
$new_name = "$new_citta"."_"."$new_nome"; 
copy("$foto", "foto/".$new_name);
prov così e vedi se funge..