La función htmlentities() la he probado y no evita el hackeo.

Sin embargo no había probado striptags(), lo probaré a ver qué tal.

En cuanto a las preguntas de Cluster:

-¿Dónde veo el html que me inyectan? Me aparece en el html de la página index.php, detrás de la etiqueta </html>. Como curiosidad, diré que me hackean todos los archivos que empiezan por index.php, ya que guardé en el servidor un index-hackeado.php, y este archivo también es hackeado cuando vuelven a entrar.

-El código de la página ya digo que es html + varios includes (sin variables) para meter el header, footer, etc. Nada más.

Y una pregunta: He leído que el register_global puede influir en este tema. ¿Es así?

Gracias a todos.