he

$navi=$_GET['navi']*1;

Soll das is_int() ersetzen?

"Führe" SELECT nur aus, wenn du dir sicher bist, dass die Daten in deinem Sinne vorliegen. Ansonsten provozierst du mysql Fehler, die User/Angreifer nicht zu sehen haben, oder ermöglichst eine Injection. (Evtl. mit regulären Ausdrücken prüfen)

Wende zudem mysql_real_escape_string an.

gruß bascombe