debes de seguir siempre unas pautas :

validar - si es un nombre debes de validar que sea un nombre , email, tlf , etc....... ya sea por regex o alguna funcion de php o ambas .
sanear - alguna funcion que escape , mysqli_real_escape_string por ejemplo si se usa mysqli

antes de mostrarla en pantalla si se va a mostrar el dato ,usa alguna funcion que convierta caracteres especiales htmlentities por ejemplo

para reforzar un poco lee algo sobre PDO http://us3.php.net/manual/es/book.pdo.php