符号って?
今回の例ならXSSの心配は無いでしょ。
不安なら
$usr = $_POST['usr'] + 0;
とか
if($usr < 0 || $usr > 2) $usr = 0;
とでもしておけばいい。