Pa' no errarle, mejor prohíbe el uso de < y de >, así no te meten HTML TAGS.

Si antes de procesar tu código, guardarlo, mostrarlo o lo que sea checas eso, ves si el usuario quiere pasarse de listo y le mandas un mensaje de error y le dices esos símbolos no se pueden usar.

Pa' que no te metan código PHP perjudicial, antes de procesar tu mensaje o guardarlo en la DB, pásalo por addslashes() o activa las comillas mágicas en tu php.ini