Dovrebbe bastare l'utilizzo della funzione mysql_real_escape_string() (oppure la più semplice mysql_escape_string) quando recuperi i dati inviati dal form per poi memorizzarli nel database.