hidden input kullandıysan mutlaka en azından $gelen=addslashes($_post['gelen']); şeklinde filtrele. Değişen value değerlerini azda olsa filtrelemiş ve klasik hcking komutlarının çoğunu engellemiş olursun. Ama tavsiyem forumda araştır bartuç'un yazdığı çok güzel bir filtre var onu kullan mutlaka