Tienes dos opciones:
- "Escapar" la cadena para que se la coma tu base de datos.
- Parametrizar la consulta
En ambos casos depende del lenguaje y de la base de datos. El lenguaje es PHP, pero ¿la base?.
Por ejemplo, para MySql, tienes la función
mysql_real_escape_string() para lo del "escapado"...
Código PHP:
$sqt="UPDATE tabla SET pp = '".mysql_real_escape_string($variable)."'"