Si, hogasa .. tienes toda la razón .. y haces muy bien en dar tu comentario ..

Para eso mismo PHP dispone de la función mysql_escape_string() para \' escapar esa ' y quede inutilizada para tus propósitos de "SQL inyectión" ... También lo hace PHP por defecto si se usa magic_quote_gpc=on (que añade esos \escapes a esos caracteres ..)

Pero, es más seguro usar dicha función para evitar problemas en configuraciónes que no lo usen a "ON" ..

Un saludo,