mysql_real_escape_string ve htmlspecialchars işinizi görecektir.