guarda io ho un pò di confusione in questo momento...provo a spiegarti quello che ho capito o quello che ho intenzione di fare. Ho già messo dei controlli client side sui campi del form quindi in teoria dovrei riuscire a evitare che inseriscano codice arbitrario per entrare o fare danni perchè con re regex li obbligo a usare i caratteri e i numeri e all'occorrenza qualche -,_,/, a seconda dei campi in questione. Ho letto che bisogna replicare questi controlli anche server side perchè immagino che gente esperta sia in grado di bypassare queste piccole precauzioni in modo molto semplice. Quindi avevo pensato di inserire qualche funzioncina php per evitare che l'utente inserisca codice html o sql ad esempio oppure di usare funzioni come la strip_tags, html_entities() che a quanto ho capito vanno proprio a fare questo.
Spero di essermi spiegato..e spero che potrai illuminarmi se sto dicendo un sacco di cazzate o se magari qualcosa di sensato c'è.