En ce qui concerne l'injection sql, je passerais à PDO en utilisant une instruction préparée .
Vous pouvez utiliser un simple is_array() sur vos valeurs pour rechercher un tableau, puis le parcourir en boucle. Vous avez raison, tel quel, votre filter la fonction ne gère pas correctement les tableaux.
Modifier : Si vous utilisez PDO et une instruction préparée, vous n'avez pas besoin de mysql_real_escape_string plus. strip_tags , htmlentities et trim ne sont pas non plus nécessaires pour stocker les informations en toute sécurité dans une base de données, elles sont nécessaires lorsque vous envoyez des informations au navigateur (trim pas bien sûr...), bien que htmlspecialchars serait suffisant pour cela. Il est toujours préférable de préparer correctement vos informations/sorties pour le support sur lequel vous diffusez à ce moment-là.
