Alexander-V-Sh этот вариант не опасен modules.php?name=News&UNION , т.к. в скрипт передается переменная UNION и она не где не используется, а вот второй вариант опасен, т.к. в переменную op передается опасный код и он может быть задействован. Что бы фильтровать не только значение переменных, а и название самих переменных передающие методом GET, то тогда надо фильтровать не сам $_GET, а $_SERVER['QUERY_STRING'] это строка запроса к скрипту. можете посмотреть как это все выволнено в Сантинеле