express, От так будет полностью_)
$messag = htmlspecialchars($messag);
$messag = mysql_escape_string($messag);

Мой Повелитель, Нормально всё выводится_)

Мой Повелитель, Ради прикола_)

Мой Повелитель, Я же написал из - в, я фильтрую, что идет в бд, и из него_)

Мой Повелитель, Эта функ фильтрует данные из-в бд, и при записи инф в бд, она спецсимволы перекодируе. То есть ты пишеш сообщение <script><Бла бла</script> и если не перекодировать < >, то при просмотре инф из бд, функ скрипт выполнится в теле страницы, а с фильтрацией выдаст как обычный текст_)

Мой Повелитель, От писивной XSS частично защитит_)