Deine input-Funktion ist Käse, weil sie keinen Sinn macht. Du willst offensichtlich nicht entscheiden müssen woher die Eingabe kommt (ob post oder get), dann verwendet $_REQUEST, da drin landen alle Eingaben die sonst in $_POST, $_GET und $_COOKIE zu finden sind. Ich persönlich finde es allerdings gut, wenn man sich Gedanken macht woher eigentlich die Eingaben kommen.

Deine escape_string-Funktion macht für mich auch wenig Sinn. Was erwartest du, dass stripslashes() tut? Ich denke da sollte eigentlich addslashes() stehen, wobei man das auch nur vor der Verarbeitung und nicht vor dem Prüfen des Inhalts anwenden sollte.
nl2br() macht da keinen Sinn, das verwendet man zu Ausgabe und nicht bei Eingaben, ebenso wie das auskommentierte htmlspecialchars().