A cada variable POST tenes que limpiarla. A todas. Tambien a las numericas. Yo hoy dia tengo esta funcion que uso para todo tipo de valores de formulario:
Código PHP:
Ver original/* Limpiar cadenas de texto */
function limpiar($texto, $numerico = false){
if ($numerico)
return $texto;
else
}
La de fixEncoding corrige el charset de ser necesario, pero tambien es una funcion creada.
En fin, haces limpiar($_POST['variable']);