php防止注入问题

请教大家防止php注入，现在使用一个PHP文件里的函数自动过滤所有的提交数据,比如下面
if(isset($_POST)){
//执行过滤语句
}
还要再每个表单提交的PHP文件地方过滤吗？（想省点事呵呵），具体使用哪种方法好点，安全跟性能方面。
$_COOKIES也需要过滤吗？最后就是怎么防止JS脚本攻击，现在只是过滤了eval字符

我也想学习一下。

目前别人教给我的唯一一个理念是：
任何由用户提供的数据都是恶意数据，必须对其进行相对应的过滤处理。