Помогите с фильтрацией данных, как нужно обрабатывать поля текстовые?
кроме strip_tags, trim, htmlspecialchars.

Зависит от того, что Вы желаете с ними делать. Запись в БД - тогда mysql_real_escape_string
Вывод - тогда htmlspecialchars к примеру. Возможно, nl2br пригодится.

Вот что я бы рекомендовал - не отрезать html-сущности при запись в БД, но применять функции по их экранированию и замене при выводе данных.

А при валидации данных - самое лучшее и мощное средство это регулярные выражения.

к примеру, комментарии, как обезопасить базуданных?

mysql_real_escape_string - просто экранирует символы?, т.е. "сломать" построенный запрос в mysql_query нельзя, так?

Можно, если идет, скажем, поиск по LIKE или REGEXP - тогда это нужно предусмотреть и экранировать соответствующие символы (% в первом случае и preg_quote применять для второго).
В остальных случаях mysql_real_escape_string достаточен.

Т.е. сломать запрос можно если используется в самом запросе LIKE или REGEXP?
А если просто WHERE id='1' ?


Не совсем понятно... т.е. replace делать на пустоту знака %?
preg_quote и вот это, оно ставит перед каждым символом (\\ + * ? [ ^ ] $ ( ) { } = ! < >|) слеш... а нельзя ли просто запретить в комментариях все кроме [а-я!?.,] ? и сделать htmlchar что-то там, кароч заменяет на %amp; и.т.д?