debes de seguir siempre unas pautas :
validar - si es un nombre debes de validar que sea un nombre , email, tlf , etc....... ya sea por regex o alguna funcion de php o ambas .
sanear - alguna funcion que escape , mysqli_real_escape_string por ejemplo si se usa mysqli
antes de mostrarla en pantalla si se va a mostrar el dato ,usa alguna funcion que convierta caracteres especiales htmlentities por ejemplo
para reforzar un poco lee algo sobre PDO
http://us3.php.net/manual/es/book.pdo.php