Una aproximación simple, estudia expresiones regulares para mejorarlo:
Código PHP:
<?php
//lo que ha puesto el usuario
$cadena = $_POST['cif'] = "B57.288_547";
$error = false;
//Comprobar si contiene los caracteres no permitidos
if(strpos($cadena, ".")) $error .= "CIF no válido, contiene .<br>";
if(strpos($cadena, "_")) $error .= "CIF no válido, contiene _<br>";
if(strpos($cadena, "/")) $error .= "CIF no válido, contiene /<br>";
if(strpos($cadena, " ")) $error .= "CIF no válido, contiene espacios<br>";
echo ($error?$error:"CIF OK");
?>
saludos