beh come già scritto in altre discussioni e come scritto nelle guide sulla sicurezza di HTML.it consiglio di verificare che i dati in ingresso siano effettivamente della forma che ti aspetti e di effettuare anche il loro "escape" in modo che non vengano eseguite SQL Injections o altro...