que tal si todos esos campos que muestras en tablas (en buscar_user.php) los colocas en un input disabled (osea que el usuario no lo pueda modificar) y tal como esta en un formulario, luego cuando el usuario coloca submit se envian los valores de estos inputs como si fuera un formulario normal y los captas con actualizar_user.php.

Para evitar SQL Injection, hace las consultas de esta forma

mysql_query('
SELECT *
FROM datos
WHERE palabra LIKE \'%'.mysql_real_escape_string($_POST['busqueda'].'%\'
LIMIT 0, 30
', $handle);

(que quede claro que es un ejemplo, no es tu consulta en si, es para que te guies)

y para evitar XSS utiliza este ejemplo

<?php
$valor = htmlspecialchars($_GET['valor'], ENT_QUOTES);
echo '<input type="text" value="'.$valor.'" />';
?>