I problemi di sicurezza li hai solo se invii in output al browser del testo potenzialmente pericoloso senza trasformare i caratteri '<' e '>'.

Per evitare problemi nell'esecuzione delle query, per ogni valore esterno che devi inserire nel database puoi fare cosi':
codice:
$valore_pulito = mysql_real_escape_string(stripslashes($valore_originale));