防止xss+sql注入的问题?报错

刚看了一个放xss和sql注入的文章:
框架类型或者有公共文件的，建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数，可由如下所示：
$_REQUEST = filter_xss($_REQUEST);
$_GET = filter_xss($_GET);
$_POST = filter_xss($_POST);
$_COOKIE = filter_xss($_COOKIE);
$_POST = filter_sql($_POST);
$_GET = filter_sql($_GET);
$_COOKIE = filter_sql($_COOKIE);
$_REQUEST = filter_sql($_REQUEST);


最简单的filter_xss函数是htmlspecialchars()
最简单的filter_sql函数是mysql_real_escape_string()
当然，谁都知道这种过滤filter_sql只能过滤字符型和搜索型的注入，对于数字型是没有办法的，但也说明做了这层过滤后，只需在后面注意数字型的SQL语句就可以了，遇到了加intval过滤就可以了，这就变得容易多了.

我直接使用htmlspecialchars($_POST)或mysql_real_escape_string($_POST)会报错,因为这两个函数转换的类型是字符串类型的,而$_post.....是数组类型的.按照这个思路我该怎么做xss和sql语句的过滤了?