Esta bien lo que estas haciendo ahi Solo que deberias extenderlo a todos los campos de tu formulario.

Para agregar seguridada la hora de hacer tus consultas, cuando recibes las variables en tus php, antes de consultar usa mysql_real_escape_string() para evitar cualquier problema.