Inserimento codice in database

Ciao a tutti! Ho un piccolo problema con l'inserimento di commenti sui post del blog.. Qualcuno può dare un'occhiata a questo codice e dirmi se c'è qualche errore? :D
Grazie in anticipo xD

Codice PHP:

<?
$host = "localhost";
$user = "gismo";
$password = "password";
$db = "my_gismo";
$link = mysql_connect($host, $user, $password) or die(header('Location: /'));
$conn = mysql_select_db($db, $link) or die(header('Location: /'));

$Codice1 = "<div class='CommentiCella'><span class='CommentiNome'>";
$Codice2 = "</span><br><span class='CommentiData'>";
$Codice3 = "</span><br><span class='CommentiMessaggio'>";
$Codice4 = "</span></div>";

$Data1 = $_POST['Data'];
$Ora1 = $_POST['Ora'];
$Nome1 = $_POST['Nome'];
$Email1 = $_POST['Email'];
$Messaggio1 = $_POST['Messaggio'];

$Data = $Data1;
$Ora = $Ora1;
$Nome = $Nome1;
$Email = $Email1;
$Messaggio = $Messaggio1;
$Codice = $Codice1.$Nome.$Codice2.$Ora.$Codice3.$Messaggio.$Codice04;

$query = "INSERT INTO Commenti VALUES ('$Data', '$Ora', '$Nome', '$Email', '$Messaggio', '$Codice')";
mysql_query($query, $link);
?>

[javascripter]

Dentro le variabili $Codice1 ( 2, 3 e 4) usi gli apici ( ' ), questi andranno a generare degli errori di sintassi nella query.

Per risolvere, devi usare l'apposita funzione di escape mysql_real_escape_string.

Inoltre, ti consiglio di applicare questa funzione in ogni dato che recuperi dall'esterno e di controllare i tipi di dati trasmessi che andrai ad inserire nel database ( per esempio: se la data contiene solo numeri, controlla che contenga solo numeri ).