Váš problém je mnohem horší než tento -- co když někdo zadá hodnotu '; DROP TABLE poet; -- ? Musíte použít buď mysql_real_escape_string() pro escapování hodnoty nebo použijte parametrizované dotazy (například s PDO).
Je rok 2011, pro hlasitý pláč. Proč je SQL injection stále rozšířeným problémem?