41. согласен. фильтруй все переменные, сообщение и т.п, часто встречаю в чатах не фильтрованые переменные в "О себе", либо если пароль и логин хранятся в гет запросе, при переходе из информации о пользователе по сайту(сайт пользователя), передаются данные в referer. смотри может пользователь постит смайлами из снифера...
mysql_query("INSERT INTO `loads_komm` (`id_user`, `time`, `msg`, `file`, `size`) values('$user[id]', '$time', '".my_esc('$msg')."', '$jfile', '$size')");
SQL Injection- как ее тут закрыть