Cita:
Iniciado por fishdesign 
En esas validaciones no aparece ningún control para el #, ni tan siquiera para meter query strings...
No conozco el contexto del script, pero como validación/seguridad, no tiene mucho sentido ese código
mas adelante hago un saneamiento para inyecciones sql, se supone que todo entra como texto plano, tal y como el usuario lo escribe.
pero aquí el detalle es como a pesar de esas condiciones paso desapercibido el #
aunque alli no diga explicitamente sobre #..
esa condicion jamas permitiria que pasara el # únicamente..
podria pasar el #http:// , esa validación no la tengo, pero el # solo jamas pasaria, se supone..