Cita:
Iniciado por Ojete 
y en este caso como se hace?
'".$_FILES['fichero']['type']."', ?
deberías poner atención a lo que te sugieren:
ya que con dicha función puedes escapar cualquier variable y siempre funcionará bien tu consulta...
Código PHP:
$foo = mysql_real_escape_string($foo);
$bar = mysql_real_escape_string($_FILES['fichero']['type']);
// ...
$sql = "INSERT INTO tabla(baz, buzz) VALUES('$foo', '$bar')";