Tenés varios aspectos a cuidar:

1- Injection: Con mysql_real_escape_string estás más que bien ;) (la función escape usa eso teniendo en cuenta arrays y números). Tené en cuenta lo que dice ZICCO, no lo pases por alto. Por ejemplo, si haces un "... where id = '{$var}'...", a $var la podes forzar a un int pasandola por intval().

2- Xss: Si tenes datos que no serán moderados aplica este filto: http://snipplr.com/view/1848/php--sacar-xss/

3- Spam: Usá un captcha, yo tengo uno propio, pero en las FAQ o en google encontrás varios.

4- Léxico: Usá algún filtro de malas palabras, no tenés más que hacer un str_replace( array('malapalabra1','malapalabra2'),'',$str); o lo que es mejor un eregi por ejemplo y si da true ponerlo en estado de "moderar", para que no se borren palabras como computación.

Hay varios puntos más, pero me parece que éstos son los más usados.

Repito lo de ZICCO, JAMAS CONFIES EN EL USUARIO.