comunque mi confermi che il peggio che mi può succedere per ora sia che qualcuno mette tuple vuote nel db?
Bhè, una stringa vuota può benissimo essere un dato valido da mettere nel database. Non un male da cui proteggersi. Sicuramente se volessi salvare il nickname di un utente, allora voglio evitare che se lo scelgano vuoto. Anzi, per dirla tutta vorrei che potessero scegliere un nickname che abbia una lunghezza compresa tra X caratteri e Y caratteri. Vorrei anche assicurarmi che la stringa inviata sia anche ben formata (valida nel charset che ho scelto di utilizzare) e che non contenga caratteri invisibili. Farei anche altri tipi di controllo.
Insomma, la risposta è: dipende da quello che voglio fare. Potrei anche volerli i campi vuoti, come non volerli. Esattamente come a volte vorrei salvare i dati solo dopo che sono passati con filter_var e a volte no.

Se è la sicurezza che ti preoccupa: tutto ciò di cui hai bisogno è la funzione safe_mres. Il resto è solo validare e filtrare i dati.

Comunque, anche se ancora non lo hai chiesto, è questione di tempo prima che tu arrivi all'argomento "prepared statements", quindi mi prendo la libertà di indicartelo io: http://stackoverflow.com/questions/6...jection-in-php