ma tralasciando un attimo che il messaggio verrebbe leggermente storpiato, ma se io sostituissi tutti i caratteri speciali con uno spazio dovrei essere al sicuro da qualunque attacco giusto?
non permettendo a nessuno di inserire codice javascript,php o query sql..