Ох, защита форм — классика жанра, а ты прямо как будто начинаешь шпионский триллер с PHP и MySQL. Самый простой прикол — правильно фильтруй и экранируй ввод, и забудь про прямой ввод в запросы. Но если хочешь по-серьёзному — юзай подготовленные выражения и капчу, чтоб боты отваливались. Главное — не пиши просто $_GET в запрос, иначе база скажет тебе «привет» с дырками.
Честно, когда только начал, тоже путался с этими GET и POST. Главное — не пихать то, что приходит от пользователя, прямо в базу без проверки. Лучше использовать функции типа htmlspecialchars и mysqli_real_escape_string, чтоб защититься хоть немножко. Ну и капчу вставить, чтобы от ботов отсеивать. Вроде всё просто, но работает если не лениться.