Porque no tienes nada para un else, por lo cual simplemente termina las condiciones IF e imprime lo que haya recibido...

En serio, tendrías que ser mas meticuloso en lo que va sucediendo y lo que pasa luego. Sencillamente el código que pones solo valida que hacer en cierta condiciones, pero no qué debe hacer en caso de no corresponder a false. Validas solo lo que e true.

Por su lado, el caracter "#" en el acceso a bases de datos como MySQL, por ejemplo, simplemente elimina todo lo que sigue, porque se usa para comments, es decir, comentarios en la misma linea. Todo lo que sigue a ese caracter es ignorado sin mas, por lo que no es, como ya te dijeron, un caracter "dañino" o peligroso ne ese sentido.