Gracias de nuevo
Creo que estoy protegido paser por url

admin.php?usuario=<script>alert('ataquexss');</script>

Y no paso nada

No me acordama que aparte de mysql_real_scape_string paso a loa variables la funcion quitar que encontre en el foro, donde quito posibles caracteres no permitidos, en los que incluyo < y >

Un saludo