Seu problema é muito pior do que isso -- e se alguém digitar o valor '; DROP TABLE poet; -- ? Você precisa usar mysql_real_escape_string() para escapar do valor ou usar consultas parametrizadas (com PDO, por exemplo).

_{É 2011, pelo amor de Deus. Por que a injeção de SQL ainda é um problema generalizado?}