grazie mille

cominciando dal fondo:
ho cercato informazioni riguardo la prevenzione dagli attacchi mysql injection e a quanto pare la funzione GetSQLValueString nel mio codice è sicura (è una funzione preparata da dreamweaver che prevede l'uso di mysql_real_escape_string() o simili)

non uso la funzione eval. se provo a inserire codice php tramite form questo viene salvato nel DB, ma essendo visualizzato tramite un echo dopo essere stato richiamato dal DB, non viene eseguito ne mostrato. mi chiedevo se fosse possibile far eseguire del codice a seguire di echo "
ho provato a scrivere "; echo "ti ho crackato"; ma per fortuna non ha funzionato e la stringa è stata salvata come testo.

quanto agli XSS attacks il problema sembra serio. forse dovrei filtrare tutti gli input e togliere i caratteri pericolosi? sarebbe la via più semplice ma i miei utenti non potrebbero più formattare il testo con i tag html.
devo ancora provare gli editor di testo "prefabbricati", immagino che quelli sarebbero sicuri, ma avrei preferito evitarli.
c'è qualcos'altro che potrei fare?