Hola... Es exactamente como te dijeron, pero te lo aclaro un poco más....
Estructura: -Envías datos.
<form........</form>
-Recoges... Código PHP:
$dato1conhtml=$_POST['dato1'];
$dato2conhtml=$_POST['dato2'];
-Transformas... Código PHP:
$dato1=htmlspecialchars($dato1conhtml);
$dato2=htmlspecialchars($dato2conhtml);
-Envías...
mysql_query(XXXXXXXXXXXXXXXX);