Post ile gelen verileri filtrelemenizi öneririm, bkz: mysql_real_escape_string