Ese error es básico, como no amarrarse las agujetas.

Necesitas "escapar" tus datos apropiadamente para evitar ese tipo de problemas, y eso depende del motor de base de datos que estés usando.

En MySQL existe una función de "escape", si usas PDO sería bind_param(), etc.

Consulta el manual.