Buenas
Verás, ese código que te pasaron por ahí lo tienes que pegar en el archivo que procesa los datos enviados del formulario, donde $comentario tienes que poner el nombre del campo que quieres evitar que inyecten código, este es un ejemplo pequeño;
Ahí estamos primero haciendo la conexion, luego seleccionamos la base de datos, después, con htmlentities transformamos los carácteres que son como por ejemplo "<" a entidades HTML, de esta forma no se leerá como código lo que se ponga entre <> (Puedes leer algo sobre eso en Google)
Por último, insertamos todo en la base de datos.
Saludos!