для SQL рекомедую использовать mysqli, в нем тип данных указываешь при подготовке запроса
от XSS экранируй htmlspecialchars() и используй везде в html двойные кавычки — это и по стандарту и безопасно (можно экранировать конечно с ENT_QUOTES, но это лишний головняк.
