И так остается две основные проблемы.
Они уже были рассмотрены, но не решены.

1)Использование HTML тегов.
Проверку HTML "$what = check_html($what, $strip)" отключать нельзя.
Это дыра в безопасности.

2)Использование одинарной кавычки.
Способ предложенный выше не работает.

Может кто-то возьмется переписать функции check_html и filter?
У меня пока нет знаний и возможности.