Tienes un error en el if donde solo aplicaria las modificaciones a una variable cuando esta no exista, recuerda que el ! es equivalente a NOT.

Practicamente puedes permitir cualquier palabra y signo, aun <? con casi nulo riesgo de SQL INJECTION, siempre y cuando apliques a todas las variables de texto mysql_real_escape_string(), ademas de htmlentities y htmlspecialchars.

Siempre verifica que la longitud de las cadenas este en un limite adecuado para guardarlo en la base de datos.