Siempre que le pases un:

mysql_real_esape_string() (si trabajas con Msyql .. o un addslashess() a esos datos si no usas Mysql dependiendo si usas "magic_quote_gpc" a ON por defecto como suele venir PHP de série en su configuración ...) no tendrías que tener más problemas para aceptar esos caracteres.

Más info:
www.php.net/mysql_real_escape_string

También tienes este documento para tu lectura que trata temas de seguridad como "SQL injection" .. "Cross site scripting" y cosas así:

http://phpsec.org/projects/guide/

(estaba en las FAQ's por si a acaso: http://www.forosdelweb.com/showthrea...936#post238936)

Un saludo,