Das hängt von der erwarteten Eingabe ab 
Du musst sicher gehen, dass die empfangenen Daten den Erwartungen entsprechen.
Wenn z.Bsp. über ein Formular eine versteckte ID mitgegeben wird, prüft
is_numeric()ob es sich tatsächlich um eine Zahl handelt etc.
Man kann zwar für einige Bereiche generelle Prüfschritte vorgeben, z.Bsp. mysql_real_escape_string() bei weitergabe der Nutzerdaten an deine Datenbank, aber weitestgehend hängt es von oben erwähntem ab.
Sei kreativ 
richtig gut wirds, wennste dir ne allroundfunktion machst, die erstma den ganzen evil-input und leerzeichen usw wechmacht.. also wennste die vorgegebenen funktionen nutzt und evtl noch n bissi was eigenes dazuschreibst.
Ich nehme mal an es ist PHP...
Grundlegend gibt es da verschiedene "Attacken" die du vorbeugen musst, solltest
SQL Injection - verwende Prepared Statements wenns möglich ist (PDO)
Local/Remote File inclusion - immer alles überpüfen
XSS - immer alles mit htmlentities oder direkt als integer ausgeben
CSRF - bei einem Browsergame ziemlich wichtig, benütze Session und Tokens - evt. auch Refferer checken.
is_numeric()
empty()
ctype_digit()
is_int()
isset()
etc.