SQLインジェクションについては、プリペアドステートメント 。
単純なis_array()を使用できます 値に基づいて配列をチェックし、ループします。あなたは正しいです、それはあなたのfilter 関数は配列を正しく処理しません。
編集: PDOとプリペアドステートメントを使用する場合、mysql_real_escape_stringは必要ありません。 もう。 strip_tags 、htmlentities およびtrim また、データベースに情報を安全に保存するために必要ではありません。ブラウザに情報を出力するときに必要です(trim もちろんではありません...)、ただしhtmlspecialchars そのためには十分でしょう。その時点で出力しているメディアに対して、情報/出力を正しく準備することをお勧めします。