Sāc ar trim(), htmlEntities, stripSlashes(), tad mysql_real_escape_string(). Un vispār... PDO! Bet to vēlāk.
Pēc tam, kad kverijs "ir izbūvēts" - neizpildi pieprasījumu, bet gan, vienkārši, izdrukā kveriju (tātad - stringu). Un tad jau redzēs kas neiet...