Concernant le problème de XSS et d'injection de code, après quelques recherches ce matin, je suis tombé sur ce site :
http://htmlpurifier.org/

Ils proposent une librairie qui permet de filtrer tous les codes suspicieux, mais qui laisse toute la partie présentation du html.

Ce qui autorise l'utilisateur à saisir un message dans un forum par exemple avec un formatage html.(Inserer des images, des tableaux,...)

Quelqu'un a déjà utilisé cette librairie ??