1:

框架会统一做一层过滤，当然自己要设置下
类似ci :

伪代码

$this->input->post().xxsclean();

2:
类型的过滤是必须的，请认真写代码,任何用户可更改输入都可能带来危险，阅读下xss,注入

1、对于所有前端传来的数据，在处理前，当然必须进行校验和验证。一个原则是你把所有用户当成是恶意的

2、处于模块的内聚性和解耦，最理想的当然是每个函数内部进行都进行校验，因为往往你不会知道你写出来的函数会被谁调用，你的调用者也不一定会清楚，而且忠实地进行参数校验。当然你的项目规模足够小，大可以不必考虑那么多。

如果是框架，一般都有从外部接收数据的API提供，这些API会对数据进行统一检验，但也并不是万能。对数据检验是个很有必要的事。

php$var = !empty($var) ? $var : $default;