Willst du Daten an mysql übergeben, musst du die Maskierungsregeln für SQL beachten. Das macht beispielsweise mysql_real_escape_string().

Hab mir sagen lassen, wenn ich prepare nutze (wie ich es derzeit mache) benötige ich mysql_real_escape_string() da prepare dieses automatisch macht.