Io un guestbook l'ho fatto di recente e di accorgimenti ce ne sono:
-> devi renderti conto che stai interagendo con altre persone quindi devi ritenere che queste persone posso essere pericolose!
-> prima cosa da fare è formattare il testo per evitare javascript dannosi
-> verifica la querystring con severi controlli (un id è un numero, intero e positivo per esempio, sono già 3 controlli)
-> stai attendo ad ogni dato di input possibilmente pericoloso
-> verifica register_globals e magic_quotes_gpc (link)
-> cerca di farlo multilingua


è sufficiente questo credo