Ist das Zufall? Oder hast du dich von meinen "Sicherheitstest" inspieren lassen, dass wir beide auf die Idee kommen?
Du solltest schnellsmöglich die Sicherheitslücke schließen. Z.B. solltest du htmlspecialchars() einsetzen.
Und eine Checksum beim HTTP-Request mitsenden. Z.B. HMAC