şimdi asıl olay veri tabanınızda yerine koyacağınız get ve post değerlerine bağlı

eğer int olarak bir veri çekiyorsanız get ve post ile

intval($_GET) her ne kadarda string değer de girilse sonucu 0 olacağı için düşünmeniz gerekmez injection yemezsiniz.
eğer string bir değer geliyorsa mysql_real_escape_string i kullanırsanız zararlı kodlardan da arınırsınız .

demek istediğim güvenlik olayı postlanan bilgiye değil sizin o bilgiyi ne tür şekilde kullanacağınıza bağlıdır.