Sé que las sesiones no son una cabecera, pero su identificador único se envía por Cookie (que sí es una cabecera). Además me refería a la cabecera Referer..
Pero en fin, creo que no es necesario hacer 2 bucles:
Código PHP:
foreach($_POST['selecc'] as $valor) {
if ($valor = 'valor correspondiente al primer checkbox')
$consulta .= " OR `clasif`='a' AND `tipo`='v'";
else
$consulta .= " OR `clasif`='b' AND `tipo`='c'";
}
La idea debe ser quitar el SQL del formulario.
Así no das información que puedan usar para atacarte.
Si vos controlás los valores que te pueden pasar, validándolos correctamente, no es necesario que te preocupes por quién manda el formulario, ya que por mucha basura que te manden, la validación solo dejará pasar lo que sea inofensivo...
Saludos.