Esta bien lo que estas haciendo ahi
Solo que deberias extenderlo a todos los campos de tu formulario.
Para agregar seguridada la hora de hacer tus consultas, cuando recibes las variables en tus php, antes de consultar usa mysql_real_escape_string() para evitar cualquier problema.