Yo le pondría un captcha como la gente, no se cual habrás instalado. Aparte pasaría el texto antes de ser guardado por esta función:
http://snipplr.com/view/1848/php--sacar-xss/
Y groso panino, por haber puesto el while, y por reconocerlo con un sr! ;) es algo que puede pasar.