if sorgusunun hemen başına

$_POST = array_map('mysql_real_escape_string', $_POST);

şunu ekleyip dener misin?