si he filtrado la gran mayoria . comillas. y otros caracteres, pero debe de existir algun doc o info que pueda sacarme dudas o hacer pruebas online. alguna web 2.0 test injection jejeje
Código PHP:
function apply_filters($tag) //funcion aplica filtros
{
$tag=htmlspecialchars(trim($tag));
$tag= mysql_real_escape_string($tag);
$tag = str_replace("<script", "<sc#ipt", $tag);
$tag = str_replace("<java", "<j@va", $tag);
$tag = str_replace("</script>", "script", $tag);
$tag = str_replace("mail(", "m@ail(", $tag);
$tag = str_replace("a href", "a hr@f", $tag);
return $tag;
}
aqui mi codigo. pero vamos que deben existir fallos por alli.