Если вы вдруг используете зарезервированое слово, например, fulltext, то его надо обязательно обрамлять в обратную ковычку: `fulltext`

Защита от SQL Injection атаки:
имеем строку: mysql_query("UPDATE `content` SET `fulltext`='$text'"); - так опасно, нужно так:
mysql_query("UPDATE `content` SET `fulltext`='".mysql_real_escape_string($text)."'");
А ещё лучше вместо mysql_* функций использовать PDO:
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < ? AND colour = ?');
$sth->execute(array(150, 'red'));
$red = $sth->fetchAll();
Подробней: http://ua.php.net/manual/en/pdo.prepare.php
Там, где нужно подставить значение в SQL - ставится знак ?, а потом массив передаётся какие значения подставить
Так и читабельнее и безопаснее