In fase di inserimento in un db mysql devi fare (almeno) l'escape delle stringhe con mysql_real_escape_sstring (verificando che get_magi_quotes_gpc sia disattivato)

inoltre potresti validare i dati (con le preg_match(), con strlen(), empty(), etc etc)

se le stringhe inserite sono poi destinati alla visualizzazione in fase di visualizzazione:
htmlentities(), strip_tags(), etc etc


... se invece i dati con cui si sta operando nn sono stringhe c'è altro da dire...