Traslado el tema al foro de PHP.
Así rápidamente lo que puedo sugerir es que uses $_POST en lugar de $HTTP_POST_VARS, y en lugar de la función quitar() que tienes definida usa
mysql_real_escape_string para preparar la cadena, y para quitar los caracteres HTML especiales usa
htmlspecialchars.
Además, imprime mysql_error para ver si las consultas producen algún error.