Wie prüfe ich den Inhalt der Eingabefelder ob jemand mir etwas „Böses“ will

...?
In der Regel gar nicht*. Normalerweise reicht es aus, das Böse kontextgerecht unwirksam zu machen (beim speichern in einer MySql-Datenbank mit mysql_real_escape_string). Dazu gibt es einen neuen Artikel hier irgendwo auf selfhtml.

* Wenn hier jemand z.B. den nach dem Befehl zum löschen einer Datenbank fragt, soll die Antwort ja auch nicht im Filter hängen bleiben.