Вроде бы нет ошибок, но всё же, не хочу чтоб когда начал крутить её взломали
http://gta-la.ru

Раскрытие путей:
Добавляем в куки символы !@#$%^&*()/ и получаем
Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/jadso169/domains/gta-la.ru/public_html/index.php on line 2

Спс, щас исправлю

xss отаке?
http://www.gta-la.ru/?site=gta-la.ru&name=1%3Cscript%3Ealert%28688045%29%3C/script%3E
выведит мой номер аси

при заходе на http://gta-la.ru, подменяем user-agent на <script>alert(/XSS/);</script>
тут http://gta-la.ru/?on видим результат - active xss

ЖенькО спс исправил)
bipolar исправлю, хотя от этого же толку нет? ну в смысле не навредит ничем
Ctacok это вообще к хосту надо)) у меня не показывает эту папку

И так же подставляем "><script>alert()</script> в поле email и видим результат,поле pass тоже уязвимо, когда подставляем 1%00'"><ScRiPt%20%0a%0d>alert(447854176450)%3B</ScRiPt>.

в reg.php xss в формах:
login
pass
pass2
беспалевно):D
идём далее,чо..
вроде больше пассивок нет...как минимум для не авторизованных..