sì, per prima cosa, strippa i tag html dal codice (c'è la funzione apposita in php http://it.php.net/strip_tags), poi assicurati che nei vari campi non siano introdotte queries a database (immagino che i siti si appoggino a database). Le versioni recenti di PHP sono più sicure e certi tipi di controlli da parte del programmatore possono anche essere più blandi. Con vecchie versioni invece no. Se puoi, chiedi l'aggiornamento del software del server. Se anche con tutti gli accorgimenti del caso lo spam continua ad arrivare, probabilmente c'è qualche altra falla a livello di configurazione del server che solo il servizio hosting può tappare.