ESET, подсказк пожалуйста кусок как это верно сделать.

Кидорас, добрый человек а как это сделать правильно.

<?
include_once '../../sys/inc/
start.php';
include_once '../../sys/inc/
compress.php';
include_once '../../sys/inc/
sess.php';
include_once '../../sys/inc/
home.php';
include_once '../../sys/inc/
settings.php';
include_once '../../sys/inc/
db_connect.php';
include_once '../../sys/inc/
ipua.php';
include_once '../../sys/inc/
fnc.php';
include_once '../../sys/inc/
user.php';
only_reg();
$set
['title']="Смена Ника!";
include_once '../../sys/inc/
thead.php';
title();
aut();
if (isset($_GET
['ok']) && isset($_POST
['ok'])){
if (mysql_result
(mysql_query
("SELECT COUNT
(*) FROM `user` WHERE `nic
($_POST['nick'])."'",0)==0)
{
$nick=my_esc($_POST
['nick']);
if( !preg_match("#^([A-
zА-я0-9-_ ])+$#ui", $_POST
['nick']))$err
[]='В нике присутствуют з
if (preg_match("#[a-
z]+#ui", $_POST
['nick']) && preg_match
("#[а-я]+#ui", $_POST
['nick']))$err
[]='Разрешается использо
if (preg_match("#(^ )|
( $)#ui", $_POST
['nick']))$err
[]='Запрещено использов
if (strlen2($nick)<3)$err="К
if (strlen2($nick)>32)$err="
}
else $err
[]='Ник "'.stripcslashes
(htmlspecialchars($_POST
['nick'])).'" уже занят';
if (!$err){
if($user
['rating'] >= 50 && isset
($user['id'])){
mysql_query
("UPDATE `user` SET `money
($user
['money']-3)."' WHERE `id` =
[id]' LIMIT 1";
}else{
mysql_query
("UPDATE `user` SET `money
($user
['money']-5)."' WHERE `id` =
[id]' LIMIT 1";
}
mysql_query
("UPDATE `user` SET `nick` =
$nick."' WHERE `id` = '$user
[id]' LIMIT 1";
msg
("Ник успешно изменено
[nick] на $nick!";
echo "<div class='foot'><a
nick'>Вернутся назад</
a></div>" ;
include_once '../sys/inc/
tfoot.php';
}
}
err();
echo "<div class='foot'>
\n";
echo "<img src='/style/
icons/
str2.gif' alt='*'> <a href='/
info.php'> $user[nick]</
a> | Смена ника!<br />
\n" ;
echo "</div>\n";
if($user
['rating'] >= 50 && isset
($user['id'])){
if($user['money'] > 3){
echo "<div class='mess'>Те
$user[nick]</
b><br>Стоимость услуги 3
[2]!</div>";
echo "<div class='main'>";
echo "<form method='post
nick&ok'>";
echo "<b>На какой будем
b><br>
" ;
echo "<input type='text' n
";
echo "<input type='submit'
umenu.php'> Отмена</
a></form>" ;
echo "</div>";
}else{
echo"<div class='mess'>Не
[2]</div>";
}
}else{
if( $user['money'] > 5){
echo "<div class='mess'>Те
$user[nick]</
b><br>Стоимость услуги 5
[2]!</div>";
echo "<div class='main'>";
echo "<form method='post
nick&ok'>";
echo "<b>На какой будем
b><br>
" ;
echo "<input type='text' n
";
echo "<input type='submit'
a></form>";
echo "</div>";
}else{
if ( $user['pol']==0){
echo "<div class='mess'>Из
[2] чтобы сменить ник!
</div>";
}else{
echo"<div class='mess'>Из
[2] чтобы сменить ник!
</div>";
}
}
}
echo "<div class='foot'>
\n";
echo "<img src='/style/
icons/
str2.gif' alt='*'> <a href='/
info.php'> $user[nick]</
a> | Смена ника!<br />
\n" ;
echo "</div>\n";
include_once '../../sys/inc/
tfoot.php';?>

$nick=my_esc($_POST['nick']); /nick.php

mysql_query("UPDATE `user` SET`nick` = '".$nick."'WHERE `id` = '$user[id]' LIMIT 1";
помогите с xss пожалуйста. Что то тут я не соображу. Будьте не сходительны пожалуйста.
Добавлено 24.07.15 в 23:32:17:
<?
include_once '../../sys/inc/
start.php';
include_once '../../sys/inc/
compress.php';
include_once '../../sys/inc/
sess.php';
include_once '../../sys/inc/
home.php';
include_once '../../sys/inc/
settings.php';
include_once '../../sys/inc/
db_connect.php';
include_once '../../sys/inc/
ipua.php';
include_once '../../sys/inc/
fnc.php';
include_once '../../sys/inc/
user.php';
only_reg();
$set
['title']="Смена Ника!";
include_once '../../sys/inc/
thead.php';
title();
aut();
if (isset($_GET
['ok']) && isset($_POST
['ok'])){
if (mysql_result
(mysql_query
("SELECT COUNT
(*) FROM `user` WHERE `nic
($_POST['nick'])."'",0)==0)
{
$nick=my_esc($_POST
['nick']);
if( !preg_match("#^([A-
zА-я0-9-_ ])+$#ui", $_POST
['nick']))$err
[]='В нике присутствуют з
if (preg_match("#[a-
z]+#ui", $_POST
['nick']) && preg_match
("#[а-я]+#ui", $_POST
['nick']))$err
[]='Разрешается использо
if (preg_match("#(^ )|
( $)#ui", $_POST
['nick']))$err
[]='Запрещено использов
if (strlen2($nick)<3)$err="К
if (strlen2($nick)>32)$err="
}
else $err
[]='Ник "'.stripcslashes
(htmlspecialchars($_POST
['nick'])).'" уже занят';
if (!$err){
if($user
['rating'] >= 50 && isset
($user['id'])){
mysql_query
("UPDATE `user` SET `money
($user
['money']-3)."' WHERE `id` =
[id]' LIMIT 1";
}else{
mysql_query
("UPDATE `user` SET `money
($user
['money']-5)."' WHERE `id` =
[id]' LIMIT 1";
}
mysql_query
("UPDATE `user` SET `nick` =
$nick."' WHERE `id` = '$user
[id]' LIMIT 1";
msg
("Ник успешно изменено
[nick] на $nick!";
echo "<div class='foot'><a
nick'>Вернутся назад</
a></div>" ;
include_once '../sys/inc/
tfoot.php';
}
}
err();
echo "<div class='foot'>
\n";
echo "<img src='/style/
icons/
str2.gif' alt='*'> <a href='/
info.php'> $user[nick]</
a> | Смена ника!<br />
\n" ;
echo "</div>\n";
if($user
['rating'] >= 50 && isset
($user['id'])){
if($user['money'] > 3){
echo "<div class='mess'>Те
$user[nick]</
b><br>Стоимость услуги 3
[2]!</div>";
echo "<div class='main'>";
echo "<form method='post
nick&ok'>";
echo "<b>На какой будем
b><br>
" ;
echo "<input type='text' n
";
echo "<input type='submit'
umenu.php'> Отмена</
a></form>" ;
echo "</div>";
}else{
echo"<div class='mess'>Не
[2]</div>";
}
}else{
if( $user['money'] > 5){
echo "<div class='mess'>Те
$user[nick]</
b><br>Стоимость услуги 5
[2]!</div>";
echo "<div class='main'>";
echo "<form method='post
nick&ok'>";
echo "<b>На какой будем
b><br>
" ;
echo "<input type='text' n
";
echo "<input type='submit'
a></form>";
echo "</div>";
}else{
if ( $user['pol']==0){
echo "<div class='mess'>Из
[2] чтобы сменить ник!
</div>";
}else{
echo"<div class='mess'>Из
[2] чтобы сменить ник!
</div>";
}
}
}
echo "<div class='foot'>
\n";
echo "<img src='/style/
icons/
str2.gif' alt='*'> <a href='/
info.php'> $user[nick]</
a> | Смена ника!<br />
\n" ;
echo "</div>\n";
include_once '../../sys/inc/
tfoot.php';?>