Kullandığım Scriptte Sql Enjection Açıgını Nasıl Kapatabilirim ?

Merhaba Arkadaşlar Kullanmış Olduğum Scriptde Sql Enjection Sandığım Bir Açık Var Kaydet.php Sanırım Bu Açık Çünkü siteadı.com/coklukayıt/ burdan sonra kod işliyor işlenen kod şu

?d=8">*HACKED.By.XXXX(hACKED)>alert(21)</*saldiri(scrip

http://www.siteadı.com/mass-add/?d=8...*saldiri(scrip

bu şekilde yazıldığı zaman sayfada

*HACKED.By.XXXX(hACKED)>alert(21) Yazısı Çıkıyor Bunu Nasıl Kapatabılırım Acaba

Yokmu arkadaşlar anlayan kimse ?

Scriptinizin yapısını bilmiyorum ancak bu sql injectiondan çok xss e benziyor.
Tahminimce d gibi birşey ile idyi çekiyorsunuz.

$d = htmlspecialchars($_GET['d']);

şeklinde bir değişken işinize yarayabilir Deneyip sonucu yazarsanız sevinirim. Kolay Gelsin.

bu dediğin şey xss açığı oluyor
bu açığa özel mesala

$_REQUEST = array_map( 'htmlspecialchars' , $_REQUEST );
$_REQUESTT = array_map( 'strtolower' , $_REQUEST );
if( in_array( 'script' , $_REQUESTT ) )
{
die( "olmadı gülüm dönmedi şansın." );
}
php dosyalarının en üstüne bunu yazarsan
request ile get post vs. global değişkenlerin içeriğini okuyabilirsin hepsinde arama yapmak için request i kullandık ama sen verileri $_GET diye alıp kullanıyor isen
$_REQUEST = array_map( 'htmlspecialchars' , $_REQUEST );
yerine
$_GET = array_map( 'htmlspecialchars' , $_GET );

gibi kullanmalısın.

ilginiz için teşekkür ederim index.php ve kaydet.php kodlarını ekte verdim kodları inceleyip bu xss açığı hakkında daha net bir görüşe sahip olur ve nereleri değiştirmem gerektiği hakkında bilgi verebilirsiniz diye ekledim tabi bazı kodları değiştirmek o bölümün işleyişini bozarmı orası hakkındada bilgi verirseniz sevinirim şimdiden ilgilenen arkadaşlara teşekkür ediyorum.

Allah akil fikir versin bu hackerlere

şuan o kadar detay a inemem ama bunları yaparsan problem yaratmaz sadece script geçen bir makale yazı ekleyemezsin :A

yardımın için teşekkür ediyorum ama php ile pek bilgim olmadığı için hata yapmak istemiyorum ilginiz için tekrar teşekkür ediyorum