Знать бы еще что с этой переменной делать. Вроде я ее нашла. Если я правильно понимаю, то при echo - htmlspecialchars, в href urlencode, а в сквилах mysql_real_escape_string. Если я пройдусь по коду и расставлю это - будет шанс, что уязвимостей по крайней мере станет меньше или что-то друное нужно делать?