potresti fare dei controlli (anche senza regexp) sui caratteri inseriti (per esempio già con addslahes ottieni dei risultati): dipende da quali valori però devono essere ammissibili (si possono mettere percorsi? o cos'altro?)... l'ideale sarebbe comunque NON consentire queste operazioni e accettare solo dei parametri codificati (es.: codici numerici o solo nomi di file senza percorsi)