Yo creo que por ahí arriba te han dado ya la respuesta. Si lo que temes es una inyección (porque lo que comentas se refiere a ese tipo de cosas) siempre puedes hacer diferentes comprobaciones. Recuerda que como bien comentan no te puedes fiar de lo que viene de fuera, pero sí te puedes fiar de lo que hace tu programa.
Un ejemplo, si sabes que sólo vas a recibir valores numéricos y temes que alguien te pase una inyección mete una condición antes del código.
Código PHP:
if (!is_numeric($variable)){
//lo envías a otro lado e incluso te puedes guardar su variable de sesión si las tienes para saber quién te está toqueteando el código :)
}else{
//ejecutas el programa
}