Cita:
Iniciado por nksn 
por otro lado, no uses inputs directamente en sentencias sql, pueden realizar un ataque si no tienes las "magic quotes" activadas (creo que se escribe así, no lo recuerdo)
En vez de depender de las comillas mágicas (
que son obsoletas desde php 5.3 y eliminadas en su versión 5.4) como consejo adicional es cambiar de las funciones mysql_* a mysqli_* o PDO ya que primero las funciones mysql_*
pronto dejarán de ser utiles y segundo, tanto mysqli_* como PDO proveen herramientas para evitar ataques de inyección sql (consultas parametrizadas)
Saludos