in questo caso, sono un po' più "al sicuro" ?!
Dall'esecuzione di codice, si. Da xss no. Usa http://php.net/manual/it/function.htmlspecialchars.php su $_POST['valore_postato'];.

Se ti servono soluzioni a problemi più avanzati ricordati che puoi utilizzare template engine come twig: http://twig.sensiolabs.org/