Самописный движок на php с использованием шаблонизатора smarty, редактора tinymce, jquery и нескольких плагинов к нему.

Но есть дыры

$result = MYSQL_QUERY("SELECT * FROM administrator WHERE login = '".$_POST['alogin']."'");

Далее:
36 нефильтрованных $_GET и $_POST в запросах.
около 12 в указании переменной.
в формах дыр нет.
В принципе в некоторых местах есть фильтрация но какая-то стрёмная..

$_POST=array_map('addslashes', $_POST);

$_POST=array_map('hsc', $_POST);
$_POST=array_map('trim', $_POST);