Използвайте заместители, в противен случай сте податливи на SQL инжектиране:http:// php.net/manual/en/mysqli.quickstart.prepared-statements.php
В противен случай ето едно бързо решение:http://php. net/manual/en/function.mysql-real-escape-string.php
$sql = sprintf(
"UPDATE mytable SET field_json = '%s' WHERE id = '%s'",
mysql_real_escape_string($json_string),
mysql_real_escape_string($userid)
);
$result = mysql_query($sql);
РЕДАКТИРАНЕ
Моля, използвайте PDO ( http://www.php.net/manual/en /book.pdo.php
). mysql
разширението е отхвърлено от 5.5