Ti suggerisco di leggere questa pagina del manuale:

http://www.php.net/manual/it/securit...-injection.php

Inoltre, se il testo puo' contenere HTML, devi ripulirlo di tutto quello che puo' permettere attacchi XSS (es. tag SCRIPT, attributi On... etc.)