La mayoria de CMS usan una funcion adecuada para escapar los datos y poder insertarlos en las tablas, algunos con mysql_real_escape_string y otros preparando las consultas con PDO; eso es suficiente para evitar inyecciones SQL, pero tambien tienen funciones de validacion para ver que el HTML sea valido y evitar inyecciones XSS y te sugiero esta busqueda.