Donde dice "$_POST['mensaje']", mensaje sería el nombre del campo que quieres evitar que inyecten, por ejemplo si tienes un código de tipo:
<input type="text" name="nombre">
El codigo PHP seria:
$nombre = mysql_real_escape_string(htmlentities($_POST['nombre']));

Ahora, en el codigo de la query, decimos que inserte en la tabla "mensajes" en el campo "mensaje" el valor "$nombre", de esta forma:
mysql_query("INSERT INTO mensajes (mensaje) VALUES ('$mensaje')");

Si quieres insertar mas valores en mas campos de una tabla, es asi:
mysql_query("INSERT INTO mensajes (nombre,mensaje) VALUES ('$nombre','$mensaje')");

Etcetera :)