Vean esta funcion y diganme que les parece para pasar por ella todo GET_ y POST antes de usarlo



function valid($mensaje){


//esta funcion retira caracteres html

$mensaje = str_replace("<","&lt;",$mensaje);

$mensaje = str_replace(">","&gt;",$mensaje);

$mensaje = str_replace("\'","'",$mensaje);

$mensaje = str_replace('\"',"&quot;",$mensaje);

$mensaje = str_replace("\\\\","\\",$mensaje);

// escapando todos los valores que puedan interferir en mysql_query
$mensaje = addslashes($mensaje);

//retirando palabras reservadas del sistema
$mensaje = str_replace("SELEC","",$mensaje);
$mensaje = str_replace("OR","",$mensaje);
$mensaje = str_replace("UNION","&lt;",$mensaje);


return $mensaje;

}

La parte en la que retiro SELEC, OR y UNION, creo se si se pueden poner sus caracteres HTML, tengo que mirarme eso.