Cam acesta ar fi procesul:

1. Trebuie sa validezi toate campurile. Adica daca se asteapta email sa validezi email, daca se asteapta numar sa validezi numar, poti sa aplici si strip_tags daca nu se asteapta cod html. Eu de exemplu daca astept un numar intreg, fac ceva de genul $nr = intval( $_POST['nr'] ) si atunci elimin caracterele aiurea.
2. Trebuie sa verifici daca magic_quotes_gpc sunt active/inactive si in functie de asta aplici stripslashes dupa ce se face submit la form.
3. Aplici mysql_real_escape_string cand faci queryul la baza de date.