Moin!

Sonst fällt mir erstmal auf die Schnelle noch ein, ggf. mit Mitteln wie
strip_tags() möglichst gründlich zu filtern.

Strip_tags() hilft dir in der Regel gar nichts.

Escaping sollte zum selbstverständlichen Handwerkszeug gehören, das realisiert man aber nicht mit strip_tags() - sondern abhängig davon, wohin man die Ausgabe realisiert, mit der passenden Escaping-Funktion:

Ausgabe in HTML: htmlspecialchars()
Ausgabe in MySQL: mysql_real_escape_string()
Ausgabe auf die Shell: escapeshellarg() et al.
usw...

- Sven Rautenberg