Честно, когда только начал, тоже путался с этими GET и POST. Главное — не пихать то, что приходит от пользователя, прямо в базу без проверки. Лучше использовать функции типа htmlspecialchars и mysqli_real_escape_string, чтоб защититься хоть немножко. Ну и капчу вставить, чтобы от ботов отсеивать. Вроде всё просто, но работает если не лениться.