y creo que deberia ir en la parte que haces tu insert en la base de datos.. lo que puso el amigo es solo un ejemplo de como funciona...
deberia esta en esta parte, en todos los datos tipo
$_POST[] Código PHP:
$ssql = "insert into peliculas (titulo, fecha, sinopsis, licencia, colaborador, genero1, genero2, link, descarga) values ('" . $_POST["titulo"] . "', '" . $_POST["fecha"] . "', '" . $_POST["sinopsis"] . "', '" . $_POST["licencia"] . "', '" . $_POST["colaborador"] . "', '" . $_POST["genero1"] . "', '" . $_POST["genero2"] . "', '" . $_POST["link"] . "', '" . $_POST["descarga"] . "')";
el problema con esto es que tienes demasiados parametros para introducir a la BD... En el buscador del FORO existen muchos topicos que hablan de como evitar inyecciones SQL ya resueltos, puede que alguno te sirva para hacer copy paste.. incluso hay funciones ya hechas que te pueden ayudar..