Traslado el tema al foro de PHP.

Así rápidamente lo que puedo sugerir es que uses $_POST en lugar de $HTTP_POST_VARS, y en lugar de la función quitar() que tienes definida usa mysql_real_escape_string para preparar la cadena, y para quitar los caracteres HTML especiales usa htmlspecialchars.

Además, imprime mysql_error para ver si las consultas producen algún error.