Ciao,
il minimo è fare l'escape di caratteri speciali (speciali relativamente al database che decidi di usare) come gli apici il ; etc.etc.

Se usi mysql devi applicare mysql_escape_string() alle stringhe che inserisci.

Meglio ancora se effettui un controllo ferreo sui dati per verificare che corrispondano a ciò che ti aspetti:

qui trovi una panoramica completa
http://freephp.html.it/articoli/view...olo.asp?id=123



P.s. Sei di 3viso?