Per quanto riguarda l'iniezione sql, vorrei passare a PDO utilizzando una dichiarazione preparata .
Puoi usare un semplice is_array() sui tuoi valori per verificare la presenza di un array e quindi scorrerlo. Hai ragione, così com'è, il tuo filter la funzione non gestirà gli array correttamente.
Modifica: Se usi PDO e un'istruzione preparata, non hai bisogno di mysql_real_escape_string più. strip_tags , htmlentities e trim inoltre non sono necessari per archiviare le informazioni in modo sicuro in un database, sono necessari quando si inviano informazioni al browser (trim non ovviamente...), sebbene htmlspecialchars sarebbe sufficiente per quello. È sempre meglio preparare le tue informazioni/output correttamente per il supporto su cui stai emettendo in quel momento.
