\'

[']

[']

// p.s. простите ребята.. просто не нащёл темы специально для проверки

Проверяется. Просто регексп немного не правильный был. Подправил и все заработало.

Сейчас ничем не проверяется, тем не менее оптимальнее было бы для числовых передаваемых значений просто приводить их к целому типу

Так оно-же вроде-бы регекспом проверяется.

Ну смотри: у смотри, у тебя в коде можно встретить подобные конструкции:

$a = $_GET['a'];

@mysql_query('SELECT x, y, z FROM xxx WHERE b='$a);

таким образом, если в переменную а передать часть sql запроса - может быть выполнен произвольный код запроса, т.н. SQL injection.

Где-то я поправил, а где-то не увидел. Вообще можно много способов устранения придумать. В данном случае, который привел анонимус, проблема может быть решена заменой $a = $_GET['a']; на $a = (int)$_GET['a'];

Нехера не понял.

Спасибо. Не заметил когда сорцы присланные разбирал.

Tux-oid, поправь, раз уж сегодня и так форум пилишь