Rand

сам же написал.

Warning на работоспособность никак не повлияет, $str станет null и сработает второе условие. Однако во имя Святого Перфекционизма (хоть и спорного), пожалуйста :

if(isset($_GET['str']) && is_string($_GET['str']))

Хотя до идеала ещё далеко, может ещё написать что надо подключится к базе перед тем, как mysql_real_escape_string вызывать, а то ведь ошибка будет?

ABC, ну там же только пример.
Вообще валидация зависит от самих данных и технического задания, без этого разговор о защите мягко говоря бессмыслен. Универсальных решений нет. На форуме полно примеров когда происходит обычное приведение к типу integer, а ведь по хорошему в большинстве случаев надо еще и диапазон этих чисел контролировать. Ну и т.д.


_____________
Стимулятор ~yoomoney - 41001303250491

Если у меня в качестве переменной поступает 0 или 1, для отображения либо скрытия некоторого функционала на сайте, корректно ли будет такое условие?

if(isset($_GET['st']) AND $_GET['st'] == 1)
{
	$st = 1;
}
else
{
   $st = 0;	
}

логику вижу так: если существует $_GET['st'] и ее значение равно 1 то создать переменную $st и присвоить ей 1, иначе, при отсутствии $_GET['st'] или другом значении st - присвоить переменной $st - 0.
Все верно?