usa siempre mysql_real_escape_string() en los parametros que recibes desde el formulario y que iran directamente a la base de datos.