Mira ya que estas "apurado", haz lo siquiente:
Cada vez que declares una variable que recibe un parametro dado por el usuarioenglobala en mysqli real escape string y htmlspecialchars y listo, si tienes tiempo busca en Google para saber como funcionan ambas.
Por ejemplo, tienes:
<?php
$var = $_GET['action'];
$var2 = $_GET['datos'];
echo 'La accion es: '.$var.' y los datos ingresados fueron: '.$var2;
?>
Tendrias que dejarlo asi:
<?php
echo 'La accion es: '.$var.' y los datos ingresados fueron: '.$var2;
?>