niente di particolare, il solito problema di evitare le sql injection.

INPUT
- (' " \ NUL) ho capito che non c'è problema perchè c'è attivata in PHP il Mysql_Escape_String che gli mette l'escape in automatico.
- (% _) invece credo si possa fare così:
$CaratteriSpeciali = array("%", "$");
$CampoValore = str_replace($CaratteriSpeciali, "", $CampoValore);
sempre che con regexp non si possa fare di meglio
- (numeri): qualcosa come:
$CampoNumerico=(int)$CampoNumerico;
ma sicuramente c'è di meglio con regexp

OUTPUT
stripslashes($Campo);

tutto giusto? ora vedo come poter ottimizzare con regexp ...sempre che qualcuno non voglia aiutarmi