Não. Isso faz uma bagunça terrível com seus dados.

Sim. Você pode proteger seu código contra injeções de SQL.
Aqui está uma breve explicação que já fiz
Só tenho que acrescentar que você não deve estragar seus arrays de dados de origem.
O array POST não tem nada a ver com SQL. Os dados podem ir para um email, um formulário HTML, um arquivo, serviço online, etc. Por que tratar tudo isso com proteção SQL?
Por outro lado, você pode pegar seus dados não do POST, mas de um arquivo, online serviço, outra consulta.
Então, você tem que proteger não matrizes de origem, mas dados reais que entram na consulta

Falando em XSS, não há regra universal simples novamente.
Mas em geral, você tem que usar htmlspecialchars($data,ENT_QUOTES); para todos os dados não confiáveis ​​que você produz como texto e alguns outros tipos de validações em alguns casos especiais, como nomes de arquivos