اینطور سوالات درحد جزییات کدنویسی هست که معمولا کسی وقت و انرژی و انگیزهء خوندن کدهای موردی دیگران و اصلاح و ارائه راهکار رو (که اونم خودش کلی کار بیشتر میبره) نداره.
ولی فکر میکنم اشاره به تابع htmlspecialchars مفید باشه. این تابع از تفسیر کاراکترهایی که در HTML کاربرد ویژه دارن جلوگیری میکنه. هر زمان ورودی کاربر رو میخواید در صفحه ای نمایش بدید، مثلا بعنوان کامنت و غیره، باید اول ورودی کاربر رو از این تابع بگذرونید تا همش بصورت متن ساده تفسیر بشه (کاراکترهای کنترلی HTML رو با معادلهای متنی اونا جایگزین میکنه).