همیشه داده هایی که پست ارسال می کنی رو به این صورت بگیر
البته من نمونه کدی که خودم استفاده می کنم رو واست قرار می دم
$symbol = array(',', ')', '(', "'", '"','!', '?', '/', '[', ']', '+', '=', '#');
if(isset($_POST['name'],$_POST['email'],$_POST['subject'],$_POST['text']))
{
$name = preg_replace("/<.*?>/", "",$_POST['name'] );
$name =str_replace( $symbol ,"",$name);
$email = preg_replace("/<.*?>/", "",$_POST['email'] );
$email =str_replace( $symbol ,"",$email);
$subject = preg_replace("/<.*?>/", "",$_POST['subject'] );
$subject =str_replace( $symbol ,"",$subject);
$text = preg_replace("/<.*?>/", "",$_POST['text'] );
$text =str_replace( $symbol ,"",$text);
if(!empty($name) and !empty($email)and !empty($subject) and !empty($text))
{
$link = mysql_connect($dbhost,$dbuser,$dbpass) ;
mysql_select_db($dbname,$link);
.
.
.
و بقیه دستورات شما
{