En PHP, hay dos funciones prácticas que te pueden ayudar a prevenir ambas cosas: strip_tags, para eliminar elementos HTML y mysqli_real_escape_string, para escapar los caracteres especiales en una cadena.

También tienes la opción de desinfectar los datos con expresiones regulares, pero necesitas aprender primero sobre ellas para poder aplicarlas pues son un tanto complejas, aunque con estudio, se logra dominarlas.

Saludos