HTTP kennt keine Integer sondern nur Strings. $_POST/$_GET Parameter sind gundsätzlich nur Strings. Eine Validierung kann jedoch prüfen ob die Umwandlung nach einem Integer fehlerfrei möglich ist.

Im Übrigen ist alles, was von draußen in eine Anwendung eingebracht wird als tainted zu berachten. Das sind nicht nur Parameter in GET/POST sondern auch der URL selbst, der HTTPmessageBody, Cookies und alle übrigen Parameter die der Webserver als Umgebungsvariablen bereitstellt ($_SERVER). Und auch Dateien die mit require/include eingebunden werden sind tainted!

Und auch Konfigurationsdateien!

MFG