Bueno, para evitar inyección de SQL, lo que te recomendaría es utilizar consultas parametrizadas:
http://www.aspfaq.com/params.htm

Si no quieres que tus usuarios ingresen HTML, puedes valerte de alguna función que mediante una expresión regular "limpie" el string que recibe, suprimiendo los tags.

http://www.4guysfromrolla.com/webtech/042501-1.shtml