Limpia las variables que recibes por POST antes de enviarlas a la base de datos con funciones como addslashes() o mysql_real_escape_string().

De culaquier manera, debe e haber mil post similares a este en el foro.

Escribe en el buscador "inyeccion sql" o "limpar variables base de datos" y seguro encuentras multimples soluciones.

Un saludo