Faille de sécurité formulaire de commentaire

Bonjour,

J'ai développé un site pour une association, il y a environ 2 ans de cela. Il se trouve que récemment, je pense avoir été victime d'une attaque du genre injection SQL, ou faille XSS... Je ne sais pas trop.

Pour chacun des articles de la page, il est possible d'ajouter un commentaire. Seulement voilà, pleins de commentaires venant à priori d'un forum sont automatiquement enregistrés dans la BDD et viennent s'afficher sur mes pages.

Ex de commentaires abondants:

next day tramadol
Posté le 07-03-2013
for unique Tramadolpain used hydroxypropyl visual Tramadol say hydrochloride metabolic prescriptions so, <a href=" http://ericblog.typepad.com/wiki/pad5.html">tramadol online next day</a>, 52467,


tramadol xanax
Posté le 07-03-2013
it for of vlaanderen but ultram it ingredient methyl the pharmacies dose, <a href=" http://ericblog.typepad.com/wiki/pad21.html">tramadol drug class</a>, =[[,


ultram online
Posté le 07-03-2013
ut glycolate operative our Therefore pain indicate number, <a href=" http://ericblog.typepad.com/wiki/pad40.html">buy tramadol now</a>, aps,


tramadol high
Posté le 07-03-2013
relieve's be The Pain the nalgesic they opossums your, <a href=" http://ericblog.typepad.com/wiki/pad9.html">cheap tramadol without prescription</a>, 7926,


tramadol hcl 50
Posté le 07-03-2013
o dose Professor Buy white without dosing gelatin, <a href=" http://ericblog.typepad.com/wiki/pad26.html">tramadol 50 mg tablets</a>, :[[,


order tramadol overnight delivery
Posté le 07-03-2013
overhave as Cod My Online page to those beenthat emergency of names as, <a href=" http://ericblog.typepad.com/wiki/pad29.html">tramadol generic</a>, pyxpf,


tramadol overnight shipping
Posté le 07-03-2013
tramadol was believe moderate it this of is timeliness with, <a href=" http://ericblog.typepad.com/wiki/pad29.html">tramadol generic ultram</a>, =(((,


J'ai pourtant bien (je pense, il est possible que qqch m'est échappé) protégé mon formulaire:
- utilisation des fonctions "nl2br(addcslashes($valeur, '%_'));" sur les données transmises par le formulaire avant de les envoyer dans la BDD
- utilisation de requêtes préparées avec PDO en PHP
- utilisation de la méthode stripcslashes pour l'affichage des commentaires


Comment me débarrasser de tous ces messages abondants? Comment rompre la faille? Plus exactement le fait que ces messages déposés sur un autre site viennent s'enregistrer sur ma BDD????

Merci d'avance pour vos réponses utiles.