Acredito que você queira usar instruções preparadas e vinculação de parâmetros. Não interpole diretamente os dados do usuário em suas consultas. Consulte o manual MySQL para informações sobre isso.