Eso ya lo hago. Uso strip_tags para filtrar las etiquetas html que pueda haber introducido el usuario antes de guardar en la BD. Para las comillas simples y dobles, mysqli_real_escape_string.

Lo que no sé es si el usuario incluye una URL maliciosa, al sacarla como enlace puede haber problemas