Para evitar problemas con la consulta e inyecciones sql cuando se envia informacion mediante un formulario:

$texto = mysql_real_escape_string ( $texto );

Y cuando se imprime algun texto con caracteres especiales:

echo htmlentities($texto, ENT_QUOTES);

Basta con esto o se necesita algo mas?