DBを扱うなら必須だもんね。
PHPの場合は、mysql_real_escape_string()を使用する。
特殊文字をエスケープし、mysql_query()で安全に使えるようにしてくれる。

$sql = "select * from user where name = '" .mysql_real_escape_string($_POST['name']) . "'";

こんな具合にね。