lo q debes anular son los ; porq es el delimitador por default de mysql ademas de algunas otras cosillas pero si lo que haces primero es depurar la sentencia antes de mandarla yo lo que hago es algo asi

$var=" ' ".$_post['data']." ' ";

con esto pueden mandar drop o lo que quieran que el sql lo tratara como texto bueno eso creo hasta el momento no han podido hacerme una ataque saludos