además del captcha, yo procesaría las variables de la siguiente forma:
trim(strip_tags($_REQUEST['variable']))

de esta forma le sacas los espacios en blanco con trim y luego le sacas el html que pueda tener la variable. De esta forma le das una seguridad mayor a tu formulario.

Saludos.
Leandro.