Twój problem jest znacznie gorszy niż ten -- co jeśli ktoś wprowadzi wartość '; DROP TABLE poet; -- ? Musisz użyć mysql_real_escape_string() aby zmienić wartość lub użyć sparametryzowanych zapytań (na przykład z PDO).
Jest rok 2011, na litość boską. Dlaczego wstrzykiwanie SQL nadal jest powszechnym problemem?
