Muchas gracias a las dos personas que contestaron, he usado mysql_escape_stringen en todas las consultas; el problema es que no se si es la forma adecuada; por ejemplo;
$var=mysql_escape_string($_post['dato'],$conexion);
mysql_query("insert into dato values (null,'$var')");
esto deberia ser...