Если вам тематика не интересна, то просто оберните все переменные, которые передаются в запрос, функцией mysqli_real_escape_string();
Если интересна - вперёд, к PDO
*ой, у вас mysql, господи. Тогда mysql_real_escape_string();
но это очень грустно, да
