lo principal es filtrar todas las entradas de los usuarios....

aquellos mensajes que se van a mostrar en la web con htmlentities()

y los datos a consulta.. depende lo que tengas, si es un id
$id = (int)$_GET['id'];

o real_scapes o addslashes()

saludos
nax