çok teşekkürler hallettim şu şekilde get ile aldığım değeri mysql_real_escape_string ile filtrelemeden geçirdim şuanda hack programıyla analiz ettiğimde hiçbir şekilde site bilgilerine ulaşamıyor.
bu fonksiyon php'nin yeni sürümlerinde desteklenmeyeceği yönünde söylentiler var.
tavsiyem; addslashes(); kullanmanız.