"el atacante?"

Para empezar .. deberias recoger tus varibles por el metodo esperado .. En tu caso dices q lo enviarias por "POST" .. pues usando el array asociado:

$_POST['variable'] .. eso evitara que te entren por GET (por el URL directo).

Luego . ya es tema de validar esa "variable" su valor en tu aplicacion .. Si esperas un numero .. pues eso . .si esperas un rango de valores .. pues otra cosa ..

Todo esta en hacer condiciones "IF" .. y poco mas .. Algo mas avanzado .. es usar expresiones regulares: ereg() .. y similares.

Un saludo,