Il tuo problema è molto peggio di questo -- cosa succede se qualcuno inserisce il valore '; DROP TABLE poet; -- ? Devi usare mysql_real_escape_string() per eseguire l'escape del valore o utilizzare query parametrizzate (con PDO, ad esempio).
È il 2011, per aver gridato a squarciagola. Perché l'iniezione di SQL è ancora un problema diffuso?
