Sigue estando mal , lo que yo le aconsejaria es que mediante la funcion mysql_real_escape_string , purifique todos los datos que provienen de cualquier tipo de metodo tanto POST o GET.

Le dejo un link con la información sobre dicha función:

http://ar2.php.net/manual/en/functio...ape-string.php

Saludos!