Um einen String abzuspeichern mit unbekanntem Inhalt, sollte immer die PHP Funktion mysql_real_escape_string verwendet werden:
$mystring = mysql_real_escape_string($mystring );
Damit werden bösartige Strings entschärft, mit denen großer Schaden angerichtet werden kann wie:
$string = "1';DELETE FROM table WHERE 1;#";
$sql = "SELECT * FROM table WHERE id = '$string' ";
Dies kann durch die Verwendung der Funktion verhindert werden.