nn vorrei mandarti fuori strada per questo non t dico di preciso secondo me qual è la soluzione, però posso dirti che ci sono alcuno funzioni che controllano appunto i caratteri di una variabile

htmlentities()
stripslashes()
mysql_escape_string()
mysql_real_escape_string()

ma ti ripeto. non sono sicurissimo ke facciano proprio al caso tuo. te cmq provale...