Нужно просто соответствующим образом экранировать данные. Или использовать prepared_statements, которые сами обо всем позаботятся.
> чтобы уже при попытке "ввода инъекции" уже ничего не запускать и не выполнять
А если вдруг пользователь захочет в блоке о вашем фреймворке опубликовать статью об инъекциях с примерами?
$a = 300.239235;
$b = floor($a*100)/100;
или можете использовать number_format, чтобы получить строку с записью числа в нужной форме:
$b = number_format($a, 2, '.', '');