Cada variable que recibas del exterior, ya sea GET, POST, COOKIE ( incluso SESSION si el valor de dicha variable puede ser manipulada por el usuario) debe ser procesada, la practica más general es addslashes y htmlentities (para evitar xss injection), aunque claro para eso hay que comprobar si el servidor aplica automáticamente las barras con magic_quotes.

Despues cada variable puede/debe contener ciertos elementos, si una variable solo debería tener números deberías comprobarlo, si debe tener X longitud deberías comprobarlo, si no debe tener X caracteres deberías comprobarlo, ninguna comprobación está de más.

Un saludo