Форум АНТИЧАТ - Проверьте,пожалуйста

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)

- - Проверьте,пожалуйста (https://forum.antichat.xyz/showthread.php?t=109953)

Проверьте,пожалуйста

Добрый вечер. Проверьте плиз мой сайт на уязвимости,интересует-топ,клик-клуб,чат. http://vmobi.ru Картинку поставила. Скажу сразу-это не двигатель,просто я сайт,топ,клик-клуб,гостевую сделала все в одном дизайне-а то на одном форуме сказали что это у меня двигатель :(

По поводу клик-клуба: было несколько атак. Парень залез в базу и оттуда исправлял готовые сообщения в гостевой,удалял переходы,меня то удалял,то менял пароли. Мои действия были: закрыла доступ в хтакцесс к конф.файлам,выставила права папкам 711,нашла шелл с99 и удалила его,сменила полностью все пароли. Но через пару часов парень снова был в базе. Как-не могу найти. В данный момент во всех скриптах делаю фильтрацию переменных.
Но хотелось бы все-таки знать дырочки. Логи тогда ничего не показали,инъекции-не было.
Помогите пожалуйста.

sql-inj

Отсутствует фильтрация параметра start
http://vmobi.ru/smart/index.php?fileid=55&start=0,2+--+
Раскручивать не стал.

Раскрытие путей

http://vmobi.ru/whois/index.php?domain='

XSS

http://vmobi.ru/webmail/index.php?lid=ru&tid=clean&f_user=&six=&f_email="> <script>alert()</script>

Отсутствует фильтрация параметра start
http://vmobi.ru/smart/index.php?fileid=55&start=0,2+--+

это у меня граббер стоит и я ненашла в нем данную переменую,увы :( но все равно-спасибо :) может еще что-нибудь найдется