Ese error es básico, como no amarrarse las agujetas.
Necesitas "escapar" tus datos apropiadamente para evitar ese tipo de problemas, y eso depende del motor de base de datos que estés usando.
En MySQL existe una función de "escape", si usas PDO sería bind_param(), etc.
Consulta el manual.