Recorramos cada nombre uno por uno, escapando de cada uno.
Voy a recomendar que use una función de escape de MySQL real en lugar de simplemente envolver las comillas, para asegurarse de que los datos realmente entren en la consulta correctamente. (De lo contrario, si ingresé un nombre como It's me! , la comilla simple estropearía la consulta). Voy a asumir aquí que estás usando PDO (¡que debería!), pero, si no, reemplace las referencias a PDO::quote con mysql_real_escape_string .
foreach($friendsArray as $key => $friend) {
$friendsArray[$key] = PDO::quote($friend);
}
$friendsArray2 = join(', ', $friendsArray);
