io invece ti consiglio di lasciare gli empty, anche se dovresti precederli con un isset (altrimenti genera un notice). Poi per essere sicuro che non ti hackino via HTML il sito, basta che fai passare tutti i dati dell'utente per questa funzione "htmlspecialchars", la quale trasformerà ogni carattere pericoloso (vedi < e > ad esempio) in caratteri in codifica HTML.