Para nomes, não acho que vale a pena pois, por mais bizarros que alguns sejam, podem ser nomes válidos. No máximo, rejeite ou marque para análise manual (se tiver alguém com tempo pra isso) os nomes que tiverem palavrões, caracteres especiais (@, $ &), mas de resto não creio que seja útil. Mesma coisa para textos de formulários.
Já o CPF pode ser validado por algoritmos próprios (exemplo 1, exemplo 2 ). Pra começar, recuse caso haja algum caractere não numérico. Envie ao servidor somente os números, sem a formatação.
Você está fazendo a validação do lado servidor (php)? Não confie na validação javascript do lado cliente. Ela não é suficiente para garantir a integridade dos dados. Máscaras só servem para melhorar a experiência do usuário, mas não garantem que os dados enviados ao servidor sejam válidos.
Se a validação do CPF estiver sendo feita no lado client (no browser via Javascript), é facilmente burlável. Caso minha hipótese se confirme, aconselho a realizar as validações no servidor.