yo lo veo bien...
aun así, es mejor que leas muy bien que son
SQL Injection,
XSS y
CSRF
si lo
lees con atención, te vas a dar cuenta de en que consisten los ataques... en lugar de "protegerte" contra una amenaza que desconoces...
pienso, eso sería lo ideal... suerte!
Edito:
al hacer use de (int) ya estas convirtiendo el $tipo en entero, de modo que es innecesario el
mysql_real_escape_string() que haces mas adelante...
y de hecho, si usas (int) tampoco tiene caso el
strip_tags() anterior... ya que (int) convierte todo a un entero.... así que con o sin strip_tags() el resultado es el mismo...