6. достаточно будет mysql_escape_string() для экранирования "'" и htmlspecialchars() для всего остального.
==
если переменная является целым числом, эффективнее будет использовать intval(); если нужно вылавливать все мелкие ошибки ввода юзера, можно использовать проверку на is_numeric(); - опять же если переменная должная быть только числом.
==
7. установи соответствующий error_reporting в .htaccess и/или конфиг файле скрипта