Dit problem er meget værre end dette -- hvad nu hvis nogen indtaster værdien '; DROP TABLE poet; -- ? Du skal bruge enten mysql_real_escape_string() for at undslippe værdien, eller brug parametriserede forespørgsler (for eksempel med PDO).
Det er 2011, for at græde højt. Hvorfor er SQL-injektion stadig et udbredt problem?