Is eh einfach: statt direkt über $variable, greifst jetzt bei Formularvariablen über $_POST["variable"] (ohne "$" baim Variablennamen!) zu, und bei Variablen, die über die Url übergeben werden, mit $_GET["variable"].
Hat den Sinn, dass Du (bzw. ein böser Mensch) nicht mit manipulierten URLs oder Formularen Variablen im Script überschreiben kannst.