кавычки тут не нужны, так как для mysql это уже 16ричное представление строки.
news.php?id=-349+union+select+1,column_name,3,4,5,6,7,8,9+from+ information_shema.columns+where+table_name=0x434f4 c4c4154494f4e53+limit+1,1--

как раз кавычки и обламывают тебе инъекцию, точнее ее обламывает magic_quotes_gpc= ON
эта опция экранирует спецсимволы такие как кавычка и нуллбайт итд.
при этом сервер получает запрос вида блаблабла where table_name=\'collations\'
а такой запрос не является синтакисчески верным.