Никому не в обиду, но всегда поражало и продолжает поражать уверенность в отсутствии дыр ))
Если не было взломов - это еще не говорит об отсутствии дыр )
Вот если бы был представлен скрин списка неудачных попыток взломов из логов - то это уже другое дело )
Скрины с успешно пойманными взломщиками в "ловушки" и так далее )
Если в скрипте есть внутренний серфинг - значит дыра, я на 99% уверен, что есть ) Потому что все ФФ-серфинги не фильтруют ссылки, они просто проводят валидацию и все... Нагуглить регулярку для ссылки большого ума не надо и установить как следует, однако исправить - никто никогда туда не лезет.