Si...tu bug se llama SQL Injection ya en serio, se ha hablado muchismo al respecto en este foro, básicamente lo que tienes que hacer es controlar las comillas simples pues romperán la sentencia SQL, hay varias aproximaciones, busca en el post de la biblioteca de funciones, existe una función que te ayuda a hacer esto.

Saludos