Para evitar inyección SQL puedes usar mysql_real_escape_string(). Y como te dice SainT90, convierte los caracteres especiales usando htmlentities(), esto ya evita que se ejecute el código en los comentarios, pero también "mata" la posibilidad de usar el TinyMCE, por lo que tendrás que utilizar un editor que use BBCode y parsearlo con expresiones regulares.