// www.w3schools.com/php/func_mysqli_real_escape_string.asp
$finding = mysqli_real_escape_string($connection, $_POST['finding']);
$observation = mysqli_real_escape_string($connection, $_POST['observation']);
$severity = mysqli_real_escape_string($connection, $_POST['severity']);
$remediation = mysqli_real_escape_string($connection, $_POST['remediation']);
$see_also = mysqli_real_escape_string($connection, $_POST['see_also']);
$query = "INSERT INTO findings (modified, type, finding, observation, severity, remediation, see_also) VALUES (now(), '$_POST[type]', '$finding', '$observation', '$severity', '$remediation', '$see_also')";
$result = mysqli_query($connection, $query);
confirm_query($result);
Пример текста, чтобы в поле наблюдения: главная страница веб-сервера был уязвим.Разрешить поля содержит одинарную кавычку
Если вы используете MySQLi, а затем использовать подготовленные заявления/связываемые переменные ...... это 2015 сейчас, а не 2005 –