Bueno, pues estoy creando mi página web y al llegar a la sección de noticias y comentarios, me encuentro con el fallo de que si algún usuario o visitante escribe cosas como "<h1>", "<script>", etc... puede fastidiar un poco el uso de mi website.
He probado con htmlentities, pero el problema está en que al usarlo, el archivo que transforma los acentos, hace bbcodes y tal (el tipico funciones.php) deja de funcionar, por ejemplo, muestra <br> en vez de ser usado como salto de línea.
El archivo funciones.php es el siguiente:

<?PHP 
function bbcode($texto){
$texto=nl2br($texto);  
$texto=htmlentities($texto);
/*_-_-_-_-_-_-_-_-_EÑES_-_-_-_-_-_-_-_-_-_-_*/
$texto=str_replace("Ñ",&#39;&ntilde;&#39;,$texto);
$texto=str_replace("ñ",&#39;&Ntilde;&#39;,$texto); 
/*_-_-_-_-_-_-_-_ACENTOS_-_-_-_-_-_-_-_-_-_*/
$texto=str_replace("Á",&#39;&Aacute;&#39;,$texto); 
$texto=str_replace("á",&#39;&aacute;&#39;,$texto); 
$texto=str_replace("É",&#39;&Eacute;&#39;,$texto);
$texto=str_replace("é",&#39;&eacute;&#39;,$texto); 
$texto=str_replace("Í",&#39;&Iacute;&#39;,$texto);
$texto=str_replace("í",&#39;&iacute;&#39;,$texto); 
$texto=str_replace("Ó",&#39;&Oacute;&#39;,$texto);
$texto=str_replace("ó",&#39;&oacute;&#39;,$texto); 
$texto=str_replace("Ú",&#39;&Uacute;&#39;,$texto);
$texto=str_replace("ú",&#39;&Uacute;&#39;,$texto); 
/*_-_-_-_-_-_-_-_BBCODES_-_-_-_-_-_-_-_-_*/
$texto=preg_replace("`\[img](.*)?\[/img\]`is","<img src=\"$1\" />",$texto); 
$texto=preg_replace("`\[url=http://(.*)?\](.*)?\[/url\]`is", &#39;<a href="$1">$2</a>&#39;, $texto);
$texto=preg_replace("`\[b](.*)?\[/b\]`is","<b>$1</b>",$texto); 
$texto=preg_replace("`\[i](.*)?\[/i\]`is","<i>$1</i>",$texto); 
$texto=preg_replace("`\[u](.*)?\[/u\]`is","<u>$1</u>",$texto); 

return $texto;
}
?>

¿Alguna solución?
¡Muchas gracias de antemano!

¿Inyecciones te refieres a que los usuarios pongan codigos HTML caseros? .

efectivamente Gabry. Por ejemplo: <h1>HOLAAA</h1> <script>alert("Hola")</script>  etc...
Muchas gracias por eso, pero lo único que falla ahora es que los saltos de línea no los cumple, y si que puse el nl2br :S

Esta duda la tuve hace muuucho tiempo y la tuve que resolver solo.
A ver, te doy una idea.
Primero crea una variable en el que dicho valor va a ser el mensaje del comentario con un htmlspecialchars().
Después esa variable es donde vas a reemplazar las cosas por ejemplo:

<?php
$comentario = htmlspecialchars($query[&#39;comentario&#39;]);
$comentario = eregi_replace("\\[b\\]([^\\[]*)\\[/b\\]","<b>\\1</b>", $comentario);
echo $comentario;
?>


Eso lo que ara es filtrar todos los html que vengan cargados de la query (Que estén guardados en mensaje de la mysql) y después reemplazar los que quieres por un código html que SI va a ejecutarse (Ya que el htmlspecialchars() fue usado antes de mostrar el contenido).

Saludos

eso ya está resulto, el problema que tengo ahora es que no me reconoce los saltos de lineas, y tengo puesto el nl2br($variable);

¿Estás usando un bbcode para el salto de línea? Es que si estás trabajando con bbcode, lo ideal es que nisiquiera tengas que poner un comando para hacer el salto.

Por favor, lee el primer post bien. Es un sistema de noticias y comentarios, con lo cual uso una función a la que suelo llamar bbcode en la que junto los acentos, los caracteres especiales, los bbcodes, etc.
La cosa está en que en un textbox no reconoce los saltos de linea al insertarlos a la bd y hay que crearlos tu mismo.

Intenta colocando el nl2br($texto); después que el texto pase por todos los filtros. Algo así como la última línea de la función luego de que pasó por los striptags, htmlentities, etc.

Como dice Physlet, si primero pasas el htmlentities y todos esos filtros y por último pasas el nl2br debería funcionar sin problemas.
Si no te funciona, pega aquí tu nuevo código y fíjate bien que otra función no vuelve a procesar el texto, o que no se procese dos veces por la misma.

Saludos

RESUMIENDO: Problema resuelto, gracias por la ayuda ^^ el código final es el del comentario anterior. Pueden cerrar tema.