mhm entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt. oder magic_quotes_gpc. aber beides auf garkeinen fall. denn das ist sozusagen wie doppelt negieren ;D (stripslashes() benutzen dann!, magic_quotes is aber eh veraltet und wird bald eh abgesrtz *g*)
ansonsten könntest du immer den typ umwandeln des übergebenen paramters, z.b. in int