Самое главное - НИКОГДА не используй функции, делающие введенное выражение частью кода. Я пробовал - в итоге взломать сервер становиться без проблем.
Вместо этого сделай PHP функции, которые будут выполнять MySQL запросы в том случае, если условия будут выполняться. Например, если твой логин и пароль совпадают с логином и паролем одного из администраторов, то можно разрешить все запросы, в противном случае разрешить только такие функции как "добавить запись в гостевую", "Показать все сообщения гостевой книги" и т.д., где посылаемые запросы должны генерироваться PHP на основе введенных $name, $message, $email, но не $query целиком!
То есть, например, "INSERT INTO messages VALUES(\"".$name."\",\"".$email."\",\"".$message."\");"

SHOGAL