SQL soruglarına mysql_real_escape_string($_POST['veri']); şeklinde
Form girdilerinede htmlspecialchars($FORM['veri']) şeklinde düzenlersen sorun ortadan kalkar. XSS soruyosan kısaca verdiğin demo sitede için diyorum tr-ogame.com da kayıtlı olan bir kullanıcı senin tr-ogame.com/defter/ adressinde bulunan XSS sorgusunu çalıştırdıgı anda kayıtlı olan cookie girdileri alınabilir alert(document.cookie) yazdıgında browserın ekranıan basar cookie girdisini +escape ilede herhangi bir konuma yazdırılabilir cookie girdisinin içinde değersiz bilğide olabilir değerli bilğide bu kullanım özelliğine göre değişir Croos Teorisi hakkında bilği için buraya bak Cross site scripting - Vikipedi