Вопрос по $_GET

Собсно.
Есть страница пользователей, зайдя на которую по ссылке (sait.ru/n1)
n - читается $_GET['n'] параметром. Далее идет выборка из БД (если есть такой пользователь), безопасно ли? может есть методы защиты, чего бояться?)

-----
https://vk[dot]com/tvoycase_ru - Твой чехол со своим дизайном

Всё зависит от того, как делаете выборку.
Если экранируете через mysql_real_escape_string или явно приводите к числу - то безопасно.

-----
PostgreSQL DBA

А POST при добавлении в бд как проверять?
у меня только:

function untag ($string) {
$string = str_replace("<","&lt;",$string);
$string = str_replace(">","&gt;",$string);
$string = str_replace('\\\"',"&quot;",$string);
$string = str_replace(":",":",$string);
$string = str_replace("!","!",$string);
$string = str_replace("\r","",$string);
$string = str_replace("%","%",$string);
$string = str_replace("^ +","",$string);
$string = str_replace(" +$","",$string);
$string = str_replace(" +"," ",$string);
return $string;
}
$test= untag($test);

-----
https://vk[dot]com/tvoycase_ru - Твой чехол со своим дизайном

всё, что идёт в запрос к базе, лучше прогонять через mysql_real_escape_string.
Только числовые значения после приведения типа можно оставлять без mysql_real_escape_string.

А по вашей функции... ммм...
htmlspecialchars в режиме ENT_QUOTES достаточно для устранения XSS.
я уж не говорю о бессмысленных заменах типа % на % и толпе вызовов str_replace, вместо одного - str_replace можно передавать массивы.

-----
PostgreSQL DBA