Yo de hace bastante tiempo utilizo el framework codeIgniter que implemente una función para los formularios que se llama xss_clean y te protege, hasta lo que he leído y lo que se bastante bien.

Pero si usas php y mysql la función que deberías pasar a tus campos antes de hacer la inserción creo que es mysql_real_escape_string(tucampo).


Saludos.