Lo que los compañeros preguntan es:
¿Que base de datos usas?
deberas usar dependiendo de eso funciones como:
$variable = mysqli_real_escape_string($conexion, $variable);
Revisa tus manuales dependiendo de la base de datos y de las extensiones utilizadas, en el caso del ejemplo que te puse el manual es este:
MANUAL DE REAL_ESCAPE