это понятно что экранирует
но надписи всё равно останутся на страничке, надо полностю исключить появления подобного эффекта, а не только экранировать выполнение инъекции ИМХО
поэтому желательно полностю отфильтровать, а не просто экранировать кавычки

поставил фильтр, прошу посмотреть ещё какие могут быть уязвимости

Рекомендую посмотреть в сторону PHP IDS - http://php-ids.org/ по тестам, хорошая система для зашиты скриптов.

BlackSun, мы вообще-то русские люди, подобного на русском нет?

ЗЫ. и что за привычка посылать как футболист футболит мяч не умеющий играть..

Пассивная XSS
http://aimboss.biz/?kin=1<script>alert(document.cookie)</script>

спасибо, исправил

кто нибудь ещё что нибудь может найти?
сайт очень большой, дыр наверняка ещё очень много

почему тишина? разве нет больше уязвимостей?
скажите свои ники я вам начислю кредитов и вы посмотрите как работает биржа, форум, панель заказов и др.
не хочется когда начнём запускать проект снова узнавать что есть баги..

в соседней теме увидел
такое откровение

возник вопрос какими командами можно через инекцию узнать пароли от phpmyadmin?