todo lo que provenga de un formulario tiene que estar validado y saneado
ejemplos
http://www.php.net/manual/es/filter.examples.php
digamos que si un dato solo puede ser numeros verificamos que la variable solo contenga numeros , igual con solo letras ,letras y numeros, direcciones email , passwords etc..... despues la escapamos o mejor aun usamos PDO y despues lo suyo seria encriptar los datos en la bd y desenciptarlos despues pero bueno eso ya es otro cuento
http://es1.php.net/manual/es/book.pdo.php http://www.php.net/manual/es/book.ctype.php
y tambien puedes usar expresiones regulares