MySQL избежает апострофы
$var = $conn->real_escape_string($_POST["var"]);
Naive Chief
$var = $conn->real_escape_string($_POST["var"]);