Yo uso la siguiente funcion

[PHP]

<?php
function ValidarDatos($campo)
{
//Array con las posibles cabeceras a utilizar por un spammer
$badHeads = array("Content-Type:",
"MIME-Version:",
"Content-Transfer-Encoding:",
"Return-path:",
"Subject:",
"From:",
"Envelope-to:",
"To:",
"bcc:",
"cc:",
"<a href=",
"</a>",
"[url=",
"[link=");

//Comprobamos que entre los datos no se encuentre alguna de
//las cadenas del array. Si se encuentra alguna cadena se
//dirige a una página de Forbidden
foreach($badHeads as $valor){
if(strpos(strtolower($campo), strtolower($valor)) !== false){
header("Location: error.php");
exit;
}
}
}
?>

[/PHP]


luego validar cada POST

ValidarDatos($_POST['email']);
ValidarDatos($_POST['telefono']);
ValidarDatos($_POST['mensaje']);
ValidarDatos($_POST['nombre']);