Una de las funciones que deberías aplicar:
mysql_real_escape_string()
A tus datos en general .. lleguen por donde lleguen a la hora de insertarlos en tus consultas SQL ..
Tienes más consejos en generar sobre seguridad bajo PHP en este excelente documento:
http://phpsec.org/projects/guide/
Un saludo,