Hi!

$query  .=  " ' " . $_REQUEST["form_name"] . "',";
Warum fügst Du eigentlich allen Werten am Anfang noch ein Leerzeichen hinzu?

Und wieso wird keiner dieser Werte irgendwie geprüft oder bereinigt?
Man darf nie, nie, niemals Werte, die von außen kommen, ungeprüft in Abfragen einbauen.
Dieser Code eignet sich wunderbar für einen Angriff per SQL-Injection.
Eventuell übergebener SQL-Code müßte entfernt bzw. unschädlich gemacht werden.

Wird mal einen Blick auf die Funktion mysql_real_escape_string().
Das wäre schon mal ein guter Anfang.

Schöner Gruß,
rob