bende öyle diyordum hocam. :) eeh biraz zorladık kendimizi, sizde sql enjeksiyonlarıyla uğraşana kadar pdo'yu öğrenmeye çalışın. her açıdan en sağlıklısı böyle olur. :)

haa ben inadım dersenizde;

mysql_real_escape_string();

fonksiyonunu da kullanabilirsiniz. bu ayrıntılı bir konu, forumda arama yapmanızı tavsiye ederim yinede...