Hi !
Eso es lo que se llama "SQL Injection" ... Cuando inyectan codigo a tu base de datos... Puedes evitarlo de una manera NO demasiado depurada, usando para cada dato que tomas de formularios la función: strip_tags(texto);
Por ejemplo:
Código PHP:
$comentario = strip_tags($_POST["txtComentario"]);
strip_tags quita todas las etiquetas PHP, HTML o JS que encuentre en el codigo.
Luego hay funciones propias del tipo "mysql_" que tambien permiten depurar las consultas antes de utilizarlas para no ejecutar codigo malicioso.
Espero te sea util!
-ByE-