クロスサイトスクリプティング対策についてなんですが、
掲示板を作るとして書き込むときに fwrite($datafile, "<pre>".$_POST['message']."</pre>"); 
としてみたらJAVASCRIPTも無効化されてるしいいような気がするんですが、<pre>で囲んだ程度ではやはり駄目でしょうか?