whitefeathers, tratare de explicar brevemente:

2. Aun despues de haber validado el contenido de variables recibidas, debes prepararlas para ingresarlas en una consulta a base de datos. Imagina que estamos procesando el inicio de sesion.

$consulta = "SELECT * FROM usuarios WHERE username = '{$_POST['username']}'";

Si ejecutas esa consulta, tal cual, corres el riesgo de que se incluyan caracteres que podrian hacer que falle la consulta y que ademas podria dar acceso a cualquier usuario:

Usando directamente $_POST['username']:
Si el valor es: McDonald's causaria error por la comilla simple o apostrofe
Si el valor es algo como: john' OR id = 1 ' OR podria dar acceso a cualquier usuario

La solucion es preparar (escapar) los datos antes de ingresarlos a la consulta, en el caso de MySQL, la funcion adecuada es mysql_real_escape_string(), en caso de PDO, la libreria lo hace automaticamente, siempre y cuando se proporcionen los campos al ejecutar la consulta $pdoStatement->execute($vars).

3. Por ejemplo, si tienes un sistema de comentarios, un libro de visitas o cualquier herramienta que permita al usuario ingresar algun texto para mostrarse en tu pagina, debes evitar que incluyan cosas como <iframe ...> o <script...>, porque podrian conectar a sitios externos donde se "roben" los datos de cookies y/o descarguen malware o virus en la PC de tus visitantes.

Esta practica es mejor conocida como inyeccion XSS; hay varios aportes sobre el tema aqui mismo en FDW, solo debes usar el buscador.

Ahora, tienes razon, el manual de PHP en muchas ocasiones puede ser muy escueto y hasta muy confuso, sobre todo para principiantes, pero, para eso esta FDW, si tienes alguna duda, puedes recurrir aqui, pero siempre con algo de codigo y especificando cual es la parte que no entiendes o no funciona.

Te aseguro que encontraras mucha gente dispuesta a ayudarte y lo unico que se espera a cambio es que demuestres tener ganas de aprender.