Si crees eso .. indica el código de tus formularios, el código que lo procesa y donde van esos datos a parar: los presentas tal cual en tu página HTML? .. generas un e-mail? .. va a una BBDD (según dices esto no ..) ..

Podemos ver el ejemplo en vivo del "hackeo"? .. que es lo que te hacen exactamente?

En general .. el hecho por ejemplo de no filtrar variables que vengan externas a tu script te expones a "ataques" de tipo "XSS" (Cross Site Scripting):

http://es.wikipedia.org/wiki/XSS

De esta manera te inyectan código HTML/Javascript en tus formularios (donde pides datos en general, no sólo en formulario .. también puede ser por el URL) y si el dato que recibes directamente lo presentas en tu página sin más filtrado (aunque por médio lo almacenes en una BBDD o archivo de texto plano o generes un e-mail por ejemplo ..) te podrían ejecutar algúna sentencia Javascript maliciosa.

Un saludo,