Нека прегледаме всяко име едно по едно, избягвайки всяко.
Ще ви препоръчам да използвате действителна функция за избягване на MySQL, вместо просто да обвивате кавички, за да гарантирате, че данните действително влизат в заявката правилно. (В противен случай, ако въведа име като It's me! , единичната кавичка би объркала заявката.) Тук ще предполагам, че използвате PDO (което трябва!), но ако не, заменете препратките към PDO::quote с mysql_real_escape_string .
foreach($friendsArray as $key => $friend) {
$friendsArray[$key] = PDO::quote($friend);
}
$friendsArray2 = join(', ', $friendsArray);
