Los mas seguro es que se trate de SQL Injection, desduzco que las variables no las pasas por ningun filtro y pasan tal cual, lo cual es grave, tambien si realizas includes dinamicos a travez de variables GET puede que sea un problema, trata de usar $_POST y $_GET dependiendo, sobre todo si es en consultas a la base de datos.

Saludos.