Du sprichst von filter in Verbindung mit einer Datenbankabfrage. Das riecht nach SQL-Injection [wikipedia.org].