形式哈克/ XSS/SQL注入

我遇到了一个僵尸网络的大问题......我认为它是一个僵尸网络...... 会发生什么？ 机器人填写表单并垃圾数据库。形式哈克/ XSS/SQL注入

这里是以下形式：

<form method="POST" action=""> 
    <textarea name="text2" style="width: 290px; margin-bottom: 10px;"></textarea> 
    <center> 
    <img id="captcha" alt="Captcha" src="http://www.mysite.de/php/captcha/Captcha_show.php?sid='2d7dd1256d06a724c34b9d703f3733e9"> 
    <br> 
    <a onclick="document.getElementById('captcha').src = 'php/captcha/Captcha_show.php?' + Math.random(); return false" href="#"> 
    <br> 
    <input id="mod" class="inputbox" type="text" alt="Bitte die Zeichen des Bildes eingeben." style="width: 280px" maxlength="15" name="captcha_code" value=""> 
    <sub>Bitte die Zeichen des Bildes abschreiben</sub> 
    <br> 
    <br> 
    <input class="button" type="submit" value="Hinzufügen" name="submit"> 
    </center> 
    </form> 

这里是与字的阵列，其不容被插入：

$badWords = array("/delete/i","/deleted/i","/deletee/i", "/update/i", "/updateu/i", "/updateup/i","/union/i","/unionu/i","/unionun/i", "/insert/i","/inserti/i","/insertin/i","/drop/i","/dropd/i","/dropdr/i","/http/i","/httph/i","/httpht/i","/--/i", "/url/i", "/urlu/i", "/urlur/i", "/true/i", "/truet/i", "/truetr/i", "/false/i", "/falsef/i", "/falsefa/i","/!=/i","/==/i", "/insurance/i", "/eating/i", "/viagra/i"); 


$text3 = preg_replace($badWords, "a12", $text2); 

if($text3 != $text2){ 
    echo "<center><b>No valid data!</b></center> <meta http-equiv=\"refresh\" content=\"2; URL=http://www.mysite.de\">"; 
    exit; 
} 

因此通常使用者不应该能够发布与例如任何文本“viagra”在里面。

我不明白某人或机器人如何插入带有这些不良词语的文本？

我使用的PDO和功能，如用htmlspecialchars（）stripslashes（）函数用strip_tags（）用htmlspecialchars（），以防止黑客...

任何想法？