Kommt ja immer ganz auf die Art der Eingabe an bzw. wofür sie dann verwendet werden soll.

mysql_real_escape_string() kann natürlich nie schaden für Datenbankanfragen.

intval() hilft einem bei Zahlen, aber wenn's um eine Emailadresse geht etc. muss man mit reguären Ausdrücken ran. intval() liefert dir auch negative Werte, bei manchen Eingaben ist das nicht erlaubt (Sloteinsätze bspw. ).

http://www.php.net/manual/de/function.preg-match.php