В текущей реализации защита проводится так: extract(ЗАЩИТА($this->tpl_vars))
Если надо добраться до оригинальных данных - юзаем $this->tpl_vars['var_name'], скажете сложно?
Получилась защита от дурака … пока сознательно не полезешь в глубь - не получишь шанса на ошибку (опасный вывод).
Я подумал, что имеется в виду обработка перед добавлением в базу.