hi,

Die Lösung ist so kriminell wie trivial:
irgendjemand, der sich "Der Gästebuchterminator" nennt hat mein Gästebuch sabotiert.

Folgendes hat er u.a. eingetragen:
unter url:
"><style type="text/css">td {border:5cm dotted green}</style><x "
unter message:
<script type="text/javascript">for (var i=0;i<3;i++) alert("Tralala, zum "+i+".!");</style>

was soll daran kriminell sein?
er hat lediglich ascii-zeichen eingegeben; da du nicht verhindert hast, dass diese als html/js-code interpretiert werden, sehe ich die schuld eindeutig bei dir.

Zum einen ärgere ich maßlos, da viele Stunden Arbeit weg sind,

wieso das denn? du brauchst doch nur die betreffenden einträge wieder löschen.

Daher meine Fragen:

1. wie kann ich sowas verhindern?

du machst keine angaben, auf welcher technik dein GB aufsetzt.
grundsätzlich wäre es schon mal eine gute idee, < und > durch ihre html-entsprechungen < und > zu ersetzen - damit ist die ausführung/interpretation von html und javascript schon unmöglich gemacht.
php bietet dafür z.b. die funktion htmlspecialchars() an.

2. welcher Ar... war das?

jemand, der dir mitteilen wollte, dass du zu naiv und unvorsichtig warst, nehme ich an.
sei froh, dass du dir dessen jetzt bewusst bist und abhilfe schaffen kannst, bevor ggf. schlimmeres passiert ist.

gruss,
wahsaga