bueno hermano yo le deje unos link de manera que puedas leer porq ya el compañero te ha dicho algo mas o menos y es bueno que leas un poco y asi aprendes un poco ahi en el link te dan mas o menos la forma de realizar el codigo de todas maneras el compañero te dejo una sentencia q esta clara
Cita: $mensaje = mysql_real_escape_string(htmlentities($_POST['mensaje']));
analizala y veras saludos