da quanto ho capito PDO prepare nn ha bisogno di mysql_real_escape_string (o almeno così si evince da un libro che ho casa).
per il resto uso le funzioni trim per levare gli sapzi bianchi e stripslashes per i magic_quotes che poi sono disabilitati quindi nn mi servono neanche.
mi mancano quindi sono validazione di tipo ed eventuali regex.
e qui volendo c'è php_filter consigliato da rickystra.

o per controlli di sicurezza intendi anche altro??