У вас проблема с SQL-инъекцией в вашем серверном скрипте. Проблема не имеет ничего общего с TinyMCE; в простом текстовом поле возникнет та же проблема.
Это серьезная проблема безопасности. Вам нужно SQL-string-literal-escape для каждого фрагмента текста, который вы помещаете в SQL-запрос. Лучше использовать параметризованные запросы, чтобы текстовые значения не добавлялись непосредственно в запросы.
Способ выполнения SQL-запросов или параметризованных запросов зависит от того, какой язык программирования на стороне сервера вы используете. (например, для PHP см mysql_real_escape_string, mysqli_bind_param или PDOStatement->execute с аргументом параметров.)