Oh ja, da sind einige Sicherheitslöcher, aber dazu fehlt mir grad die Lust die alle rauszumachen *g*

Solltest dir mal eins überlegen:

-> Was kann / darf der User eingeben? = ALLES!
-> Was willst du erreichen? = Dass alles als Text angezeigt wird!
-> Was musst du diesbezüglich tun? JS filtern und HTMLEntities umwandeln. Wenn du das tust wird das Anfangstag von <? auch umgewandelt und als <? ausgegeben!

Ich weiß auch nicht warum du mysql_fetch_object verwendest. Benutze an dieser stelle bitte mal mysql_fetch_array, dann kannst du mit $row['Text'] zugreifen. vielleicht denkt er ja deswegen dass es code sein und kein text, weil es ein object ist??? *grübel* *g* denk einfach mal über ein paar dinge nach und du solltest vor einem script dir genau überlegen was du willst dun dann die funktionen raussuchen die du benutzen könntest, nachlesen obs dafür noch andere funktionen gibt und das evtl mal miteinander vergleichen, was für dich besser/effektiver ist...

Gruß
stefan