Imam edno takova pitane: Bezopasno li e da
 si predavam
zaiavkite kym bazata po GET, t.e. stoinostite?
Naprimer: 

http://domain.com/subdom/index.php?id=12

Otdolu se izpylniava tova:

mysql_connect ("localhost", "root", "pass") or die ();
mysql_select_db("dbname") or die ();

$zaiavka_s = "SELECT * FROM `tblname` WHERE `id` = ".$id;
$zaiavka_q = mysql_query($zaiavka_s);
while($zaiavka_r = mysql_fetch_array($zaiavka_q))
{
 echo($$zaiavka_r["colname"]."
");
}

 Zabelejete, nikade ne proveriavam kakvo e $id. T.e. moje da
byde vsichko - string, php i kakvoto i da e.....
Az sediah tuka i probvah da pusna razni takiva ekstri:

 http://domain.com/subdom/index.php?id=12;
require("../../nesto_gadno.php");

 obache nisto ne stava. Vyprosyt mi e: moje li da se probie
tova tuk ili e malko veroiatno?

 ami hubavo e da si siguren che tova koeto predavash kato
 danni ne e promeneno .. primerno moje da polzvash
 quotemeta($id) za da razkarash vsichki php/html vazmojni
kodove koito da bydat izpolzvani zlonamereno

 >Vyprosyt mi e: moje li da se probie tova tuk ili e malko
veroiatno?
URL: http://zez.org/article/articleview/69/2/

polzvai $id = htmlspecialchars($_GET['id']); - no niama smisyl - nishto losho niama da ti se sluchi :)

Можеш да си "изчистваш" променливите и така:

if ( isset($_GET['id']) ) {
    $id = addslashes( strip_tags( trim( $_GET['id'] ) ) );
}

винаги е по добре, ако ще ползваш стойноста на променливата
в заявка, преди това да се увериш че няма да има неочаквана
стойност ;)

Mda....
 To e izsno che promenlivi i po post i po get ako stes i ot
cookie triabva da se proveriavat....