Постом прийти может всякая дрянь. Это известно. Надо проверять. Дали мне тут на аудит один говнокод. Смотрю значит, проверяют ребята длину пришедшей переменной и всё. Пульнул вместо строки массив и трындец, вывалилась куча нотисов. Обновил страничку, система не фурычит. Думаю. Прикрутил error_handler который убивает скрипт при первом же касяке. Вроде прикрыл дырку. Пошарил дальше, вроде нет касяков. Думаю решение самое то, ибо массив вместо стринг может прийти только в случае умышленной попытки нагадить. Будьте внимательны. p.s. У кого какие приколы были с проверкой пришедших данных?