Un merci à wh1t3b0y pour son audit du site.
Il a trouvé une XSS sur la page d'erreur 404 au niveau du traitement de l'user_agent et une sur le script de redirection du à une malformation du REQUEST_URI. J'ai aussi eu le droit au lot de problème du à l'échappement de chaînes en UTF-8. Enfin voilà qui est maintenant corrigé. A quand la prochaine faille découverte ?