Я непонимаю зачем вообще давать знак что сайт написан на php и какие параметры он принимает? Пишем элементарно в .htaccess

Options +FollowSymlinks All -Indexes
RewriteEngine on
RewriteRule ^xxx/([0-9]{1,100})\.html$ xxx/templates/main_template.php?section=$1 [nc]

//если не в курсе - при запросе xxx/2.html отображается результаты скрипта xxx/templates/main_template.php?section=2

и все проблемы разом и навсегда отпадают. Дополнительно на входные POST, GET и COOKIE ставишь preg_replace('/[^0-9]+/','',$_POST['xxx']

//Выкидывать все символы кроме цифр

Никакой хукер не доберется, защита алмазная!

Я на всех проектах своих так ставлю.