Cita: Para evitarlo ya te han dado varias funciones, aunque tambien puedes hacerlas "a mano" si es que no te gustan, por ejemplo y para empezar, puedes cambiar los <, >, ", ', por su codigo HTML de esa manera te evitas codigos html, javascript y, en menor medida, sql...
Eso lo resuelve la función htmlentities() o strip_tags(), pero eso no resuelve problemas de "SQL injection" sino de "Cross-Site Scripting" .. que no es un error menor tambien, pero no es lo mismo.
Pueden ver este documento alusivo a todos esos problemas de seguridad:
http://phpsec.org/projects/guide/
Un saludo,