usa pura y exclusivamente mysql_real_escape_string. para toda variable que vaya a una consulta sql. o en su defecto mysql_escape_string ( que es equivalente a real_escape_string desde php5.0 )