Hola dezagus, lo que Gurrutelo te indica es bastante útil, también deberias tomar en cuenta algunas cosas como la inyección sql, para ello lo siguiente extraído de wikipedia:
Cita: PHP
En el lenguaje PHP, hay diferentes funciones que pueden servir de ayuda para usar con distintos sistemas de gestión de bases de datos. Para MySQL, la función a usar es mysql_real_escape_string:
Código PHP:
$query_result = mysql_query("SELECT * FROM usuarios WHERE nombre = \"" . mysql_real_escape_string($nombre_usuario) . "\"");
Ahora si usas un framework, podrias usar su clase de seguridad o su clase para BD que te brindan mayor seguridad a la hora de realizar consultas a la BD. Por ejemplo yo uso CodeIgniter que tiene su active record que te proporciona escape automático en sus consultas.
Si deseas podrías darle un leída a
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL aunque sé que hay articulos más completos en cuanto a seguridad e inyección sql.
Saludos