Usa la función:
mysql_escape_string()
www.php.net/mysql_escape_string
Ejemplo:
Código PHP:
$sql="INSERT INTO tabla (id,nombre) VALUES ('','".mysql_escape_string($tu_Variable)."')";
Eso añadirá un "escape" a caracteres como comillas si no usases "magic_quote_gpc" a ON (como suele estar por defecto) . .Eso en conjunto con el concatenado como el ejemplo . .no deberías tener problemas.
Un saludo,