Eğer SQL sorguları gönderiyorsanız dizeleri kaçmak gerekir.

Bunun için, size mysql_real_escape_string işlevini kullanabilirsiniz.

$str = "abcd'efh";
$sql_query = "insert into my_table (my_field) values ('" 
  . mysql_real_escape_string($str)
  . "')";
$result = mysql_query($sql_query);

Another solution (Will require more work, though, as you'll have to change more code) would be to use prepared statements ; either with mysqli_* or PDO -- but not possible with the old mysql_* extension.

Edit : if this doesn't work, can you edit your question, to give us more informations ? Like the piece of code that causes the error ?

Bir değişken, örneğin içine SQL sorgusu koymak

$query = "SELECT * FROM table WHERE field= ".mysql_real_escape_string($var)."";

echo $query;

$result = mysql_query($query);

Eğer sonra aslında sorgu gibi mysql gönderilir ne inceleyebiliriz

Siz uygun yöntemi kullanarak, dizeleri kaçmak zorunda. Bunu tahmin etmek zor ne PHP fonksiyonları kullanılan söz etmedi. PHP'nin ilgili pasajı gönderebilmek olmalı, ama burada birkaç örnek var:

$text = "x'x";

// MySQL extension
mysql_query($db, "INSERT INTO table VALUES ('" . mysql_real_escape_string($text, $db) . "')");

// MySQLi extension
$db->query("INSERT INTO table VALUES ('" . $db->mysql_real_escape_string($text) . "')");

// PDO's prepared statement
$stmt = $pdo->prepare('INSERT INTO table VALUES (:myvalue)');
$stmt->execute(array(
    'myvalue' => $text
));

// Another example
$stmt = $pdo->prepare(
    'SELECT *
       FROM users
      WHERE first_name = :first
        AND last_name  = :last'
);

$stmt->execute(array(
    'first' => 'John',
    'last'  => 'Smith'
));

foreach ($stmt as $row)
{
    echo $row['user_id'];
}

Ben kuvvetle PDO 's kullanmanızı öneririz prepared statements, bu uzun vadede yazın kısa ve kullanımı kolay.