Sólo decir que estoy leyendo lo de SQL-INJECTION y dicen algo importante en lo que no había caído y que no se ha dicho aquí: que no sólo está el peligro de que te pongan comilla, éste asociado a campos de texto, sino que si el campo es numérico, sencillamente no tendrán ni que poner la comilla para poner sentencias SQL a continuación y que se ejecuten.