Deberias verificar todas las variables que envias y que entran. Podrias utilizar htmlentities(); o htmlspecialchars(); con esto las comillas y demas signos los convierte todos al lenguaje html. Por ejemplo tienes un formulario de contacto y envias las variables por el metodo POST
<?
if(isset($_POST['enviar'])){

//recoges los datos del formulario y con el htmlentities las comillas las convierte a html
$titulo=htmlentities($_POST['titulo']);
}
else{?>
<form ......>



</form>
<?
}?>