Всем ЗдАровкА. КОроче уже раз 10(говорю не в буквальном, а прямом смысле) писал паттерны и наступал на одни и те же грабли. Допустим у меня по урлу определяется какой контроллер нужно грузить. Но вдруг он что-то там намудрил(кул хачкер) и у меня может либо что-то "полететь", либо выдаст не то что надо. Я пока что сделал только вот что:

function url_handler($url_string, $data)
   {
      if(preg_match("#\.\.\/#", $url_string) && $data['bottom_folder'] == true)
	  {
	     $url_string = str_replace("../", "", $url_string);
	  }
	  
	  	  
	  return $url_string;
   }

То есть если мы найдем где нибудь выход их папки то мы его сразу уберем. $data['bottom_folder'] я сделал для того, чтобы проверят если мне не нужно выходит здесь или нет с папки. Что можно еще сделать. Защита от MySQLI инъекций приветствуется :)

function url_handler($url_string, $data)
   {
      if(preg_match("#\.\.\/#", $url_string) && $data['bottom_folder'] == true)
   {
      $url_string = str_replace("../", "", $url_string);
   }
   
      
   return $url_string;
   }

   
if( $data['bottom_folder'] == true) {
	     $url_string = str_replace("../", "", $url_string);
}

SlavaFrа мне кажется так лучше. но подумаю. что еще можно сделать?