در خط های 11 12 و 13:
$result->bindParam(':title',$_POST['title_news']);
$result->bindParam(':short_text',$_POST['short_text_news']);
$result->bindParam(':long_text',$_POST['long_text_news']);
در واقع شما مقادیر ورودی رو فیـلتر نکردید و مستقیم وارد دیتابیس می کنید. می تونید تبدیلش...