Usa sprintf() per creare le query da inviare mettendo %d per tutti i parametri numerici.

Se ti aspetti un parametro numerico dagli una passata ad intval(): se è già un numero non cambia niente, se non lo è viene ridotto ad uno zero.

Usa mysql_real_escape_string() per tutte le stringhe che puoi inserire in un database.

Se ti aspetti un valore tra MIN e MAX dagli una passata a min(max(valore, MIN), MAX).