por lo ke imaginas, me suena mas como un atake de XSS...
para limpiar estas etiketas indeseadas usas strip_tags()

seria algo asi como un <img src="expression(alert(true))"/>
otra recomendacion, no supongas... investiga mas y luego, expon tus dudas...