[SQL] pobierz, plaintext 
$sql = mysql_query("UPDATE pportal_users SET
        user_email='$new_user_email', 
        user_gg='$new_user_gg',  
        user_www='$new_user_www', 
        user_skad='$new_user_skad', 
        user_plec='$new_user_plec', 
        user_dataurodzenia='$new_user_dataurodzenia', 
        user_zainteresowania='$new_user_zainteresowania', 
        WHERE user_login='$login' ");
[SQL] pobierz, plaintext 

Nie:


wywal tutaj przecinek

Ponadto:
1. Nazwy tabel i pól powinny raczej być w odwrotnych cudzysłowach (`pole`) - potem nie ma problemu typu "dlaczego ta nazwa pola nie wchodzi"

2. Dane przekazujesz prosto z np $_POST czy przepuszczasz przez np. mysql_real_escape_string()? Jeżeli to pierwsze to uważaj na ataki SQLinjection

a przed sql injection niewystarczy takie coś
$a=htmlspeialchars($_POST['a']);

Na pewno nie chroni przed wysypaniem SQL'a Jeżeli na końcu łańcucha w zmiennej będzie np znak \ to zapytanie się wysypie.

Poczytaj sobie htmlspecialchars i mysql_real_escape_string

no powiedzmy że htmlspecialchars to rozumiem, a to drugie to pierwsze słyszę...
mam rozumieć że żeby zabezpieczyć to musze używac obu tych funkcji?

htmlspecialchars za manualem:

Dzięki temu jak wyświetlasz te zmienne w przeglądarce możesz być spokojny o takie ataki jak np XSS.

mysql_real_escape_string dotyczy samej bazy. Jak przepuścisz łańcuch przez tą funkcję to masz pewność że zapytanie się nie wysypie i nic się przez nie nie przedrze (przynajmniej w teorii). W manualu masz też info jak używać przy włącznych magic_quotes

oki, napewno sie tym zainteresuje