Hola, tengo una duda:
Estoy haciendo una aplicación web, en la que en los inputs que tengo solo se pueden meter letras, numeros o ambos.

Para cada uno tengo definido unas expresiones regulares. Las cuales no admiten ya de por si caracteres que no sean letras ni numeros.

Mi duda es: como ya se que no van a tener caracteres tales como ",<,>,/, etc, etc

¿¿Sigue haciendo falta que por seguridad compruebe (con mysql_real_escape_string(), strip_tags(), htmlentities() y otras) los posibles ataques XSS e inyecciones SQL??

Un saludo, Gracias!