Това което трябва да направиш е да проверяваш информацията, която идва от потребителите, независимо дали чрез ПОСТ или ГЕТ метод.
Например, ако имаш форма в която трябва да си попълнят адреса за доставка, на всяко едно от полетата му приложи striptags() функцията. Ако показваш продуктите през гет метод (domain.com/item.php?id=322) винаги проверявай дали стойността на id е числова стойност с is_numeric()
if(!is_numeric($_GET['id']))
{
header("location:mahai_se_ottuk.php");
}
else
{
//show the product info
}
Мини през целия сайт и прегледай всеки линк, всяка променлива и направи съответните проверки.