Crank, 2-й пост. Я ведь показал, как фильтровать.

Crank, Правильно. Везде где передаются динамические данные SQL'у используй эту функцию для фильтрации. Она предотвратит от SQL inj и будет соблюдать синтаксис SQL при записи в БД.

Crank, Да.

Crank, Создай файл quote.php и прописывай где надо
include 'quote.php';

Crank, При выводе данных из бд фильтруй htmlspecialchars() этим фильтром.

1. Покажи функцию nl2br() и что передает $chat_no ?
2.
<?php
function quote($value) {
if(!is_numeric($value)) {
$value = "'".mysql_real_escape_string($value)."'";
}
return $value;
}
?>

mysql_query("INSERT INTO `chat_no` (`msg`, `id_us`,`name`) VALUES ('".quote($_POST['msg'])."', '".$user['id']."','".quote($user['login'])."')";