mysql_real_escape_string आपके ध्यान के योग्य है।
हालाँकि प्रत्यक्ष प्रश्न एक दलदल है और अब इसे सुरक्षित अभ्यास नहीं माना जाता है। आपको पीडीओ तैयार स्टेटमेंट पर पढ़ना चाहिए और बाध्यकारी पैरामीटर जिनमें अंतर्निहित उद्धरण, भागने, आदि का एक पक्ष लाभ है।