Alexandr
Если вернуться к первоначальному вопросу.
собственно, у него три части.
1. Защита SQL запроса - его уже обсосали дочиста.
2. Защита HTML и JS. Во-первых - только, если надо, во-вторых, варианта два - либо стрипать теги, либо заменять.
Лично я обычно кладу в базу как есть, а на выходе заменяю < и > эквивалентами.
htmlspecialchars не помешает - как минимум при выводе данных в поле формы.
3. Свои собственные соображения.
Вот в приведенном тобой примере кто-то вырезает любые символы, которые не буквы, я так думаю. Это его личная идея.
при хранении данных гостевой книги в файле, я, например, заменяю перевод строки на
.