Puedes usar el "mysql_real_escape_string", ejemplo:
Código:
$username = mysql_real_escape_string($_POST["username"]);
$password = mysql_real_escape_string($_POST["password"]);
$query = mysql_query("SELECT * FROM users WHERE username = '$username' AND password = '$password' LIMIT 1");
espero que te ayude ;)