E' sicuramente sempre necessario verificare eventuali parametri passati dall'utente. Puoi utilizzare la funzione filter_var() col filtro FILTER_VALIDATE_EMAIL per verificare la mail:

Codice PHP:
if (!filter_var($emailFILTER_VALIDATE_EMAIL)) {
    // Email non valida

Con le espressioni regolari puoi controllare che il nome non contenga caratteri non permessi preg_match() e la funzione mysql_real_escape_string() per filtrare i dati da inserire sul DB