Sencillo usa o htmlentities($_GET["valor"]) o POST, o sino usa mysql_real_escape_string para evitar SQL Inyeccion, htmlentities evita xss, sql, rfi, lfi etc.

Para el uso del real escape string revisa: http://php.net/manual/es/function.my...ape-string.php

Un saludo-