Nebo ještě se zeptám takhle, co když si napíšu tuhle funkci:

function BlockSQLInjection($str)
{
return str_replace(array("'",""","'",'"'),array("'","""'",""",$str));
}

a následně budu používat:

$userName=BlockSQLInjection($_POST['userName']);
$password=BlockSQLInjection($_POST['password']);