te recomiendo que si uses validaciones por $_POST, aunque sea poca la gente que sepa modificar estos valores las hay.

str_replace("'","\'",$variable);
Esta instruccion reemplaza todas las ' por \' lo que evita que las cadenas se rompan, por ejemplo, en el caso anterior:

"Select * FROM tabla where variable1='variable';DELETE FROM tabla"

se convertiría en

"Select * FROM tabla where variable1='variable\';DELETE FROM tabla'"

lo que salvaría tu tabla de la muerte XD