Das einzige was du machen kannst ist, die via $_POST empfangenen Daten sorgfältig validieren. Dann kann man zwar was auf deinen Server packen, aber das ist wenigstens nur Junk. Also ein haufen Text oder Zahlen. Weiter nichts. Es muss halt auf jeden Fall verhindert werden, dass jemand über diese Formulare "bösartigen" Code versenden kann, sei es JavaScript, PHP oder ein SQL-Statement (zu SQL Injection gibts auch gerade einen schönen Artikel in der
phpsolutions). Vielleicht findest du aber auch
hier noch etwas Hilfe, wenns um das Thema Sicherheit in PHP geht.
MfG, Andy