Ditt problem är mycket värre än så här -- tänk om någon anger värdet '; DROP TABLE poet; -- ? Du måste använda antingen mysql_real_escape_string() för att undvika värdet, eller använd parametriserade frågor (med PDO, till exempel).
Det är 2011, för att man gråter högt. Varför är SQL-injektion fortfarande ett utbrett problem?