Las malas palabras no las elimines (no me quedo en claro que haces con ellas), podés romper un mensaje que está bien, lee el post que te deje donde explico un poco más eso. Y para los ataques xss, más usando BBCode, usá http://snipplr.com/view/1848/php--sacar-xss/



PD: Usando mysql_real_escape_string no deberían hacerte injection, así que no uses cosas para sacar delete y esas pavaditas, pensá que está hecha por quienes saben como podés llegar a entrar.

Saludos.