Con el poco codigo que das no basta para ver si hay fallos en subidas de archivo o algo... pero si se puede ver que puedo meter barbaridad de sql injection o cross scripting =D utiliza frameworks (codeigniter, php cake, etc) o al menos la libreria PDO de php para evitar estos problemas...