Основой безопасности любого приложения является простое правило: «пришедшим от пользователя данным доверять нельзя». Для этой цели пишется довольно большое количество кода, хотя типичные задачи можно решить стандартными средствами PHP ничего не изобретая.
Например, таким образом можно проверить адрес e-mail при помощи filter_var:
if (filter_var($user_email, FILTER_VALIDATE_EMAIL)) { // правильный }
также можно убрать лишнее, например, из URL:
$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);
Хотя filter_var() есть в стандартном PHP начиная с версии 5.2.0, документация на него, особенно русская, хромает.
Нормальная документация и примеры:
— Input Validation: Using filter_var() Over Regular Expressions.