Ну общая картина мне ясна:
от sql_injection - пройтись по входящим переменным и хорошо их отфильтровать, поприсваивать типы, длинну данных и т.д.

XSS - коретно вставлять\выбирать данные из таблиц. Экранировать данные + htmlspecialchars

Как быть с пекредающимся id при сохранении данных юзера? Как можно исправить этот баг?
Может хранить id в переменной $_SESSION ?