Спасибо помогло. Указанную уязвимость mysql инъекции исправил. Вот ещё наводка - на страницах типа http://travutils.com/?s=cat1&vill используется ajax. Может удастся тут что-то сделать? Кроме того календарик тоже на ajax построен.