Hombre, se supone que cuando validas con checkdate() si no son números dará un error. De todas formas, puedes comprobar si son números en formato fecha con ereg() y alguna expresión regular.
Aparte de eso, para evitar el SQL Injection, puedes usar addslashes() para evitar añadir algo a la consulta a la base de datos.