Bene, grazie intanto per la risposta, quindi la cosa migliore per inserire i dati in sicurezza è fare una cosa del genere:

Codice PHP:
trim(mysqli_real_escape_string($_REQUEST[$variabile])) 
o forse non serve nemmeno la trim() a questo punto?

E se poi i dati che io voglio estrarre dal database contengono dei tag (cioè fare il processo inverso, farmi restituire i caratteri speciali per i quali la real escape mi ha fatto l'escape) che funzione uso?

Non riesco a trovare un decodificatore nel manuale se non quello per htmlentities() (che dovrebbe essere html_entity_decode() ) e quello per addslashes() (che invece è stripslashes() ).

Nella risposta, dici che addslashes() non serve in questo caso (quello del dato passato dal form?), quindi in quali altri casi si usa?

E per quanto riguarda filter_var($_POST[$variabile], FILTER_SANITIZE_STRING) che vantaggi può dare rispetto alle altre e in quali casi usare quest'ultima?