Yo cambiaría la función quitar() ya que para eso está la htmlentities():
Código PHP:
$nickN = htmlentities($_POST['nick'], ENT_QUOTES, "UTF-8");
y cambia las antiguas variables de PHP, ya que PHP las renovo por que eran demasiada largas:
Código PHP:
$HTTP_POST_VARS = $_POST
$HTTP_COOKIE_VARS = $_COOKIE
y siempre después de una coma, usa espacio, para tener un código más ordenado:
Código PHP:
setcookie("usNick", $nickN, time() + 7776000);
y para limitar el nick usa la función eregi() que sirve para permitir sólo algunos carácteres:
Código PHP:
if(!ereg("^[A-Za-z0-9]{5,30}$", $nickN )) {
echo 'El Nombre de usuario sólo puede tener letras y números.';
y así tienes menos probabilidades de que te hagan una injección html u otra.