Если вы используете PostgreSQL, вход с PHP может быть экранирован с помощью pg_escape_string ()
$username = pg_escape_string($_POST['username']);
Из документации ( http://php.net/manual/es/ function.pg-escape-string.php ):
pg_escape_string () выводит строку для запроса базы данных. Он возвращает escape-строку в формате PostgreSQL без кавычек.