zalito: en cuanto a los hidden, los uso generalmente para pasar "parámetros" (por ejemplo algún identificador para hacer depende qué cosas en una función), y lo del sql, si, es evitar la sql injection (ahora no me acuerdo como se llaman las funciones, pero es básicamente sustituir ciertos caracteres).

Como dices, aver si nos ilustran! jeje