Ben bu idam çalışıyorum:

$result = mysql_query("INSERT INTO timesheet (project_no,user,cust_name,notes,duration) VALUES("'".$_POST['project']."', '".$_POST['user']."', '".$_POST['cust']."', '".$_POST['notes']."', '".$_POST['duration']."'")") or die(mysql_error());

SQL enjeksiyon farkındayım. Ama şimdi herkes kesme, konuşma işaretleri vb sorunlar nokta olabilir?