grazie !
hai perfettamente ragione , nel codice originale l'else non lo avevo messo, ma poi chissà perche l'ho aggiunto.

un'altra domanda:
- ho creato un form per un motore di ricerca all'interno di una tabella e ho filtrato i dati immessi dagli utenti con il codice su postato, ma non mi sembra sufficiente.
Bisogna aggiungere altri controlli ,ad esempio prevedere che i numeri siano numeri le stringhe siano stringhe, che la maxlenght dei campi immessi sia rispettata, che altri caratteri particolari non possano essere immessi.
Nell'ultimo caso qual'è il codice da usare per i caratteri particolari?

- ho previsto inoltre la paginazione dei risultati nel caso in cui i record da mostrare sono tutti.
In pratica supponiamo che nel form sia stato indicato solo l'anno e il tipo(hidden);
tramite post invio alla pagina dei risultati e contestualmente faccio la paginazione di essi tramite get.
In questo caso potresti indicarmi le funzioni da usare per 'bonificare' la query-string del tipo

//http://miosito.it/tutte.php?anno=2004&Tipo=TIPO1&page=1 ?

ho trovato questa pillola
Constructing hyperlinks safely HOW-TO:

<?php
$path_component = 'machine/generated/part';
$url_parameter1 = 'this is a string';
$url_parameter2 = 'special/weird "$characters"';

$url = 'http://example.com/lab/cgi/test/'. rawurlencode($path_component) . '?param1=' . urlencode($url_parameter1) . '&param2=' . urlencode($url_parameter2);

$link_label = "Click here & you'll be <happy>";

echo '', htmlspecialchars($link_label), '';
?>

This example covers all the encodings you need to apply in order to create URLs safely without problems with any special characters. It is stunning how many people make mistakes with this.

Shortly:
- Use urlencode for all GET parameters (things that come after each "=").
- Use rawurlencode for parts that come before "?".
- Use htmlspecialchars for HTML tag parameters and HTML text content.

e vorrei mi spiegassi cosa fanno in pratica queste funzioni.

Io per ovviare il tutto avevo previsto di controllare che la pagina tutte.php non potesse essere eseguita da sola tramite questo controllo, ma non so se è sufficiente ad impedire un attacco.

if (!isset($_SERVER['HTTP_REFERER'])) header("Location: -http://www.miosito.it/form.php.")

Scusa per la lunghezza del post. Ti ringrazio anticipatamente.