Te hace falta un:
htmlentities()
http://www.php.net/manual/es/function.htmlentities.php
Para evitar que en el "Nombre" te pongan HTML que se interprete (como ese "ejemplo" que veras como "nombre" una HTML que es un tag de imagen .. La prueba la hice yo por si causó molestias xD)
Ó directamente no permitir nada que esté entre < y > ..
strip_tags()
http://www.php.net/manual/es/function.strip-tags.php
En general se trata de "desconfiar" totalmente de los datos que el usuario pueda ingresar desde tus formularios; filtrandolos, aplicando rangos .. etc.
Un saludo,