Mi recomendacion siemrpe es programar sobre un framework que te brinda herramientas para todo este tipo de cosas, pero para un script simple como estas haciendo podes usar la siguiente funcion de php:

[url]http://php.net/manual/es/function.mysql-real-escape-string.php[/url]

Ahi tienes la explicacion y abajo tienes ejempplos de uso
Como regla general recuerda esto: toda variable que contenga informacion proveniente desde afuera (ya sea ingresada via POST o GET por el usuario en un formulario, o inclusive leida desde otra pagina) debe ser filtrada antes de ser usada en una consulta a la base de datos (culquier tipo de consulta: selects, inserts, update, cualquiera). Nunca debes pasar un string directo a una consulta o estaras expuesto a ataques de injecion SQL que son los mas peligrosos, pueden borrarte toda la base de datos, robartela, modificarte cosas, etc.