In linea di massima la cosa da fare SEMPRE è validare l'input dell'utente sia esso fornito tramite POST (input dei form) sia esso fornito indirettamente tramite GET (stringa ?var=xx&var2=yyy dopo l'url)

La validazione è la parte più noiosa della programmazione ma purtroppo se non fatta correttamente è quella che ci puo' dare più problemi.