Кстати при долбаном "расширенном формате" XSS работает, но при отправке сработает фильтр...
Например <input type=button onclck='alert()'>
Преобразуеца как <input type=button filtered-onclck='alert()'>
<script> => <xscript>
<body onload=> Помойму выще срезает... Не проверял