[Php-it] Maliciuous code in textarea, help me.

[Giginiello]

Ciao a tutti,
ho ereditato un sito fatto 3 anni fa da un mio ex collega nel quale è
implementata la seguente funzionalità:

Un utente registrato al sito ha nel suo bookmark personale altri utenti
registrati e può inviare loro dei messaggi privati compilando un form
composto da titolo del messaggio e una textarea. Il testo del messaggio
inviato (contenuto textarea) viene poi visualizzato (incluso) nella pagina
personale degli utenti a cui è stato inviato.

Il problema è che tale testo non viene affatto controllato all'atto del post
del form ed il provider su cui è hostato il sito mi ha subito chiamato per
avvisarmi che ci sono continui tentativi di attacco che sfruttano delle
inclusioni di testo non controllato.

Ora, data la mia ignoranza in materia, la domanda è: quale tecnica usano per
sfruttare tale falla di sicurezza e, soprattutto, qual'è il modo migliore
per validare l'input proveniente da una textarea eliminando ogni potenziale
codice malizioso?

Grazie in anticipo per l'aiuto.