generalmente io faccio i seguenti controlli

Se è testo che non sforino i caratteri massimi e se c'è un limite minimo (tipo il CAP da 5 cifre) che abbiano la soglia corretta di caratteri.

Se devo ristampare le informazioni in un box pubblico allora sicuramente farò passare la funzione htmlentities(); su tutti i blocchi di testo per evitare che mettano javascript maliziosi o html indesiderato.

Se è un campo File sicuramente invece metterò il limite di mega concesso da salvare sul database.

Questi sono i controlli standard.. poi sta alla tua fantasia.