Esto sería antes de la sentencia sql, exactamente cuando recibas el parámetro. A ver
Código PHP:
Ver original<?php
$nombre_usuario = $_POST['nombre'];
if(!preg_match("/^[a-zA-Z0-9áéíóúàèìòùÁÉÍÓÚÀÈÌÒÙÑñ\s]{2,30}+$/",$nombre)){ $error_nombre = "Debe escribir un nombre válido.";
$todo_ok = 1;
} else {
//TU CONSULTA
}