Regex kullanman daha faydalı olur.

Gelen her değişkeni olması gerektiği veri tipine göre kontrol edebilirsin.
1. örnek uzunluğu 12 karakter olacak şekilde ve sadece a-z 0-9 olan karakterkeri kabul eder geri kalanı içerikten siler.
2. örnekde sadece rakam ve uzunluğu 4 karakter olacak şekilde kabul eder.

1 - $degisken = trim(substr(preg_replace('/[^a-zA-Z0-9]/','',$degisken),0,12));
2 - $degisken = trim(substr(preg_replace('/[^0-9]/','',$degisken),0,4));


örnekler artırılabilir sonu yok.
Ayrıca sunucu tarafınada ek kontroller konulması gereklidir (modsecurity vb Güvenlik duvarı kuralları ile)
Senin kodlarında hata yada açık bile olsa sunucuyu geçemeyeceği için güvenlik sorunuda çok oluşmaz.