Вот решил использовать это регулярное выражение для того чтобы обезопасить
гет запрос но когда я в гет параметр передал index.php?opt=alert() то скобки почемуто не убрались( хотя я разрешил только символ _

$url = $_GET['opt'];
preg_replace('%[^A-Za-z0-9 (\_)]%', '', $url);

тоесть скобки прошли через регулярное выражение
В чем дело кто знает?

Ты же убираешь всё, что за пределами квадратных скобок. А в квадратных - есть скобки...

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Если проще - экранируй скобки

Лан всем спасибо))помогли сделал так

$result = preg_replace('%[^A-Za-z0-9\_]%', '', $url);

а еще вопрос как GET еще можно профильтровать?

htmlspecialchars
strip_tags

mysqli_real_escape_string - для ввода строк в БД
int,float - приведение к типу для чисел
htmlspecialchars - для вывода данных на экран.
_____________
Ничего удалять даже не надо.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

preg_quote(string $str [, string $delimiter = NULL]) — Экранирует символы в регулярных выражениях