就PHP的使用范围来说，数据分为接收、存储和展示。接收数据一般就是验证有效性了，无非就是看业务逻辑需要什么样的数据，邮箱格式，身份证格式，复杂密码格式等等。这里根据具体业务写正则或者写逻辑判断就好了。

存储数据时会用到很多类型的DB，考虑SQL防注入的话，可以使用PDO来防注入，简单的来讲就是使用参数绑定而不是拼接字符串就OK了。展示时需考虑可能会出现XSS，这时候看你的数据是用在什么地方，显示在html里就html encode(htmlspecialchars), 作为html 标签的attr的话就html attr encode, 用作js的数据的话就json encode。

简单的说，做到以上几点足以应对绝大部分的“安全的数据格式”需求。