Pues depende si lo que tiene que pasar es un numero, como es el caso de el id de la noticia para saber cual mostrar cuando haces index.php?n=10 y lo recoges así $_GET[n] como siempre sera un numero podías comprobarlo así echo intval($_GET[n]); entonces no te podrían insertar nada mas que números... y si tiene que ser letras y números, pero no necesitas HTML utiliza strip_tags para borrarlo o mysql_real_escape http://es2.php.net/mysql_real_escape_string pero bueno todo esto creo que te podrán aconsejar otros usuarios más expertos que yo.