Hola,

Los caracteres "malignos" suelen ser de dos clases: los que rompen tus consultas de SQL (comillas); y los que rompen tu HTML (etiquetas HTML con < y >).

Para las comillas puedes "escaparlas" con addslashes() (www.php.net/addslashes).

Y para los < y > y demas HTML, puedes usar htmlentities() (www.php.net/htmlentities).

Suerte.