Вашият проблем е много по-лош от този -- какво ще стане, ако някой въведе стойността '; DROP TABLE poet; -- ? Трябва да използвате или mysql_real_escape_string() за избягване на стойността или използвайте параметризирани заявки (например със ЗНП).
2011 е, за плач на висок глас. Защо SQL инжектирането все още е широко разпространен проблем?
