Sí, la protección se realiza en la página que procesa los datos.

Yo usaria htmlentities ya que reemplaza más caracteres y no tienes necesidad de usar funciones creadas por ti, y cualquier variable que se use en una consulta mysql (no tiene porque insertarse, en la clausula where también debe estar protegida) debería usarse mysql_real_escape_string.

Por ejemplo en tu código usaría ereg para comprobar que el campo email tiene un email y que sea correcto.