ncux, Числовые значения фильтруй так, например id:
$id = abs(intval($_GET['id']));Перед записью текста в базу:
$text = mysql_real_escape_string($_POST['text']);
//На длину ещё бы не мешало проверитьВырезаем из текста всё кроме строчных и заглавных букв английского алфавита и цифр
$text = preg_replace ("/[^A-Za-z-0-9\s]/","",$text);