客户公司用测评软件测评了我们的项目，发现几个安全漏洞，sql注入和xss攻击的，我看了出现安全漏洞的服务端程序代码，发现基本上都是页面向服务端发送get或者post数据的地方出现的漏洞，后端接收数据用的是CI框架自带的input类，可以过滤用户输入的信息，而且CI的csrf配置项也已经开启

测试工具：

漏洞概况：

有几个头疼的地方：

1. 原先接收get和post数据的代码是这样写的$this->input->get('section_id)，项目中的其他地方都是这样接收的，按理说是已经做了过滤和安全防范的，为什么还会出现这样的漏洞？

2. 如果服务端接收get、post数据这里出了问题，那理应项目中所有采用这种方式的地方全都应该有漏洞才对，为什么只有极个别地方出现了这样的漏洞？

3. 客户只看检测数据，我该如何向他们解释和沟通？

求指教~