In pratica devi controllare che nei form di contatti o altri campi non ci sia la possibilità di inserire HTML o javascript....
Fai una prova!
Inserisci in un campo del tuo modulo contatto questo codice: <i>test</i> e completa il form.
Se risulta in italico una volta inserito del tuo gestionale o database, significa che è ha rischio il tuo sito!
Questo perché, al posto del HTML, un hacker potrebbe inserire <script>***codice javascript***</script> e cancellare o modificare parte del tuo sito direttamente dal server....
Come proteggerti?
In pratica dovrai inserire nel PHP la funzione strip_tags() intorno al metodo POST del form
Chiedi ad un informatico, è meglio. ;-)
Questo video ti spiega anche come fare...