Дедушко_АнаниЙ [Off] [#] (20.10.2009 / 20:05)

Ну я же и написал выше.
Когда принимаешь от клиента обрабатывай

$text = trim($_POST['text']);

это ты занес в переменную, но в базу еще добавлять нельзя, будет инъекция.
Перед добавлением нужно обработать:
$text = mysql_real_escape_string($text);
И все, инъекция уже не страшна.
---
А когда достаешь из базы и выводишь в браузер, нужно обработать htmlentities() или htmlspecialchars() чтоб хакеры не подпихнули всякую гадость.
И будет тебе счастье