Подобную шляпу выкиньте в топку нах...
$msg = str_replace('<','',$msg);
$msg = str_replace('./','',$msg);
$msg = str_replace("'","",$msg);
$msg = str_replace('"','',$msg);
$msg = str_replace('>','',$msg);
$msg = str_replace(';','',$msg);
Достаточно сделать так против XSS:
[code]
<?php
$message = htmlspecialchars($message, ENT_QUOTES);
?>
[/copy]
А всякие вырезания знаков str_replece'ом - в топку!
Нужно вырезать только ту последовательность знаков, которая используется в качестве разделителя в файлах (это в случае, если данные хранется НЕ в БД, а в файлах!).