Me extraña de algunos...
Nunca pongas en las consultas SQL variables directas de $_POST o $_GET.
Código PHP:
$nom_rubro = isset($_GET['varrubro']) ?(int)$_GET['varrubro']:0;
if($rubro){
$sql = 'SELECT * FROM `productos` WHERE rubro='.$nom_rubro.' LIMIT ' . $limit[0] . ', ' . $limit
}