Обработка формы.
Все данные перед заносом проходят

mysql_real_escape_string($var)

Так же
php_flag magic_quotes_gpc Off
php_flag magic_quotes_runtime Off

$q = "insert into users(id, login, password, email, location, ip) values('NULL','$login','$db_pass','$email','$location','$ip')";

Логин и эмаил проходят проверку регулярками, но если в поле location написать что-то типа

'привет"ага!~;

то оно в базу так и заносится, т.е. не экранируется, хоть и пропускается через mysql_real_escape_string
если пропустить запрос к базе через echo:

echo '$q = "insert into users(id, login, password, email, location, ip) values('.NULL.','.$login.','.$db_pass.','.$email.','.$location.','.$ip.')"';

получаем

$q = "insert into users(id, login, password, email, location, ip) values(,asdasd,85136c79cbf9fe36bb9d05d0639c70c265c18d37,asdasd@asd.asd,\"hello\'~;,127.0.0.1)"

все экранируется...я туплю или как?