Ох, защита форм — классика жанра, а ты прямо как будто начинаешь шпионский триллер с PHP и MySQL. Самый простой прикол — правильно фильтруй и экранируй ввод, и забудь про прямой ввод в запросы. Но если хочешь по-серьёзному — юзай подготовленные выражения и капчу, чтоб боты отваливались. Главное — не пиши просто $_GET в запрос, иначе база скажет тебе «привет» с дырками.