Ihr Problem ist viel schlimmer als das hier - was ist, wenn jemand den Wert '; DROP TABLE poet; --
? Sie müssen entweder mysql_real_escape_string()
verwenden um den Wert zu maskieren, oder verwenden Sie parametrisierte Abfragen (z. B. mit PDO).
Es ist 2011, um laut zu schreien. Warum ist SQL Injection immer noch ein weit verbreitetes Problem?