si no haces cosas raras como usar un eval en un post/get, no hay problema. la otra forma, es que si un atacante obtiene tu cookie, y estas como admin, podra entrar como si fuera tu, y hacer lo que quiera. pero, creo que otras formas de mandar un shell explotando un xss no hay.
asique, si alguien no tiene tu cookie, no creo que se pueda.
Pues lo más probable es mediante un uploader. Hay que revisar el tipo de archivo que suben los amigos. Y aunque lo filtres medio bién, si te cuelan una imagen con código php de por medio, podrán ejecutarlo mediante un LFI... Y la otra es que se mediante un RFI. No hay que meter parámetros del usuario directamente en una función include.
Así que revisa el uploader (si tienes) y los includes. )