Hola,
Nunca confies en nada que provenga de fuera del script, ni GET, ni POST, ni SESSION, ni COOKIE, ni BASE de DATOS, ni FICHERO. Siempre valida en PHP los datos que recibes.
Cita: Si he controlado que estas variables que llegan a la pagina.php siempre son positivas y hago operaciones aritmeticas en pagina.php
Intuyo que esa comprobacion la haces en javascript en el origen. Repite la comprobacion en PHP, siempre. Cualquiera con unos minimos conocimientos puede crear una peticion manipulada saltandose todas las comprobaciones del lado del cliente.
Saludos.