Su problema es mucho peor que esto:¿qué pasa si alguien ingresa el valor '; DROP TABLE poet; -- ? Debe usar mysql_real_escape_string() para escapar del valor, o utilizar consultas parametrizadas (con PDO, por ejemplo).
Es 2011, por Dios. ¿Por qué la inyección SQL sigue siendo un problema generalizado?
