Eso, haz lo que dice carlos si no entiendes nada :D
Y el método de mysql_real_escape_string es básicamente el mismo, pero igual existen diferentes formas de implementarlo, yo uso así;
Código PHP:
Ver original//Primero le asigno una variable al campo del formulario obtenido
//Ahora inserto la variable con el mensaje
mysql_query("INSERT INTO mensajes (mensaje) VALUES ('$mensaje')");
Y es todo :)