Корвин, скрипт твой дырявый. Если нa сервере не будет включён magic_quotes_gpc, то любой может провести инъекцию в INSERT запросе, со всеми вытекающими - активная XSS и т.д. Один хрен ты данные только выводишь, что мешало делать по ним htmlspecialchars($_POST['blahblahblah'], ENT_QUOTES)?