Entschuldige, das war gerade ich in deinem Gästebuch (aber du hast es ja zum glück schnell gefixt.)

Du musst auf jedenfall überall wo usereingaben gemacht werden können htmlspecialchars() anwenden (das ist ja auch in meiner funktion am anfang).
Das wandelt dir nähmlich u.a. "</div>" in "&gt;" um und verhindert so also, das dir jemand html code einschleust... also auch dort wo man den namen eingibt usw. diese funktion anwenden.
Ob du das vor der Ausgabe machst oder vor dem speichern in die Datenbank ist mir egal, ich mache es meistens davor. Auch wenn ich schon oft gehört habe man soll es erst vor der ausgabe machen (grund: wenn jemand zb. Bäume sucht und in der Datenbnak aber "B&Auml;ume" steht findet er natürlich nichts...)