Cambia cada parámetro de esto:
Código PHP:
'$variable', '$variable2',...
a esto:
Código PHP:
'".mysql_real_escape_string($variable)."', '".mysql_real_escape_string($variable2)."', ...
Lo que pasa es que alguna de las variables que estás pasando tiene un caracter que al interpretarse por PHP y no tener una \ delante hace fallar la cadena como tal. Suele pasar con las comillas (simples y dobles) y otros caracteres.
Ten en cuenta que el código que tienes ahora mismo está listo para que alguien te lo ataque con SQL Injection.
Espero que te sirva.