Código PHP:
VALUES (
'".mysql_real_escape_string($_POST['nombre1'])."',
'".mysql_real_escape_string($_POST['apellido0'])."', etc......
esa es una de las formas
postdata: revisa el manual de php
http://php.net/manual/es/function.my...ape-string.php
pues yo en si no lo hago asi y al parecer tampoco es la forma correcta ya que primero uno crea una variable y luego la coloca