Puedes usar una funcion para hacer seguro lo ke introducen, por ejemplo:
Código PHP:
function make_safe($variable) {
$variable = htmlentities($variable, ENT_QUOTES);
if (get_magic_quotes_gpc()) {
$variable = stripslashes($variable);
}
$variable = mysql_real_escape_string(trim($variable));
$variable = strip_tags($variable);
$variable = str_replace("", "", $variable);
return $variable;
}
Y al meter las variables, las llamas asi:
Código PHP:
make_safe($_POST['variable']);