Es wäre besser wenn du die Dinger per [php:htmlspecialchars] oder [php:htmlentities] vorbereitest (die Funktionen so benutzen, dass sie auch Anführungszeichen escapen!).
Grundsätzlich solltest du bei allen Daten vom User immer den Datentyp prüfen oder zumindest sicherstellen dass der Datentyp korrekt ist. Also im Fall von $_GET['u'] wäre z.B. etwas wie
Code: Alles auswählen
$_GET['u'] = intval($_GET['u']);
Immer den Datentyp erzwingen, absichern oder prüfen (z.B. mit [php:is_numeric]) und im Zweifel die Verarbeitung abbrechen! Wenn du etwas in die Datenbank einträgst dann sollte das durch Funktionen laufen die sicherstellen, dass dir der Eintrag das Query nicht zerstört, sonst bist du anfällig für SQL Injections.