用我10多年的php和安全编程知识回答您的问题：
1） 您的过滤器是基本的，但是可以有效地避免sql注入，因为您使用 mysqli_real_escape_string() . 你需要记住，你永远不能相信收到的数据。在我的系统中，我总是清理所有需要在代码顶部处理的数据，例如：

<?php
$data = array ();
$data["name"] = trim ( ucfirst ( strtolower ( $_REQUEST["name"])));
if ( empty ( $data["name"]))
{
  die ( "User name is required.");
}
$data["age"] = (int) $_REQUEST["age"];
if ( $data["age"] == 0)
{
  die ( "User age is required.");
}
// and so on. If I receive an email, I validate it too. BTW, I always validate if a received value are completely valid, into a valid range, valid structure, etc.

在清理之后，在我使用的 $data[] ，这是已过滤的有效值。
在sql查询中，我使用 mysqli_real_escape_string() . 你也可以用事先准备好的陈述。
2） 当你使用 GET 方法，您的变量在uri处清晰可见。你也有大小的限制。
限制因使用的服务器和客户端而异（如果适用，还包括服务器或客户端正在使用的代理）。
i、 例如，限制为2048字节（2kb），opera限制为4096字节（4kb），firefox限制为8192字节（8kb），大多数现代web服务器限制为8192字节（8kb）。
使用 POST 如有可能，应优先考虑。
在php中，您可以通过 $_REQUEST ，那个混音 $_GET 以及 $_POST .
3） 记得把它存储在磁盘上。创建数据库是为了存储数据，而不是文档。这是一个常见的错误。
4） 继续阅读并寻找最佳实践。使用安全哈希存储用户密码（我建议使用哈希\u pbkdf2（））、使用ssl、记录在系统上执行的每个操作以进行必要的审核、使所有系统备份保持最新、控制谁可以访问您的服务器、使用防火墙、检查登录尝试等。
希望这对你有所帮助，我知道这远不是一个好的措施汇编，但这是一个良好的开端。