Il faut toujours vérifier la chaîne avant de l'insérer dans votre base de donnée sinon cela pourrait permettre à un pirate de faire pas mal de choses.
Exemple pour sécuriser la variable postée par le visiteur "$_POST['chaine]":
$chaine = mysql_real_escape_string(htmlspecialchars($_POST['chaine]));