FILTER_SANITIZE_EMAIL действительно достаточно для очистки адресов электронной почты. Он не исправляет значения, он просто удаляет недопустимые символы. Это включает в себя новые строки и управляющие символы. После этого это может быть недопустимым значением, но, по крайней мере, оно безопасно для использования в качестве параметра функции mail() или в полях From: и Bcc :. (Только не используйте почтовую форму без капчи!)
FILTER_SANITIZE_STRING с флагами по умолчанию является комбинацией strip_tags и htmlspecialchars. Он предназначен для вывода значений формы обратно на сайт. Это не делает контент безопасным для всех видов использования .
Но я думаю, что ручной обзор объясняет это лучше всего: http://php.net/manual/en/filter.filters.sanitize.php