ok grazie.
per mysqli_real_escape_string ok.
ma per quanto riguarda la variabile $return che viene incrementato con $_GET['param'] perchè non passa nulla?
ho sbagliato qualcosa nella stesura del codice?