C'est une bête faille de sécurité, je te copie/colle un bout de documentation tiré au hasard après une recherche google, tu pourras l'approfondir si tu le souhaites :
[quote:75d28483a8]
La deuxième faille permet d'inclure des balises HTML dans une chaîne de caractères malgré l'application d'une fonction strip_tags(), en incluant simplement un "NULL Byte" dans la balises (< scr�ipt > à la place de < script >), ce qui est possible avec une simple URL via Internet Explorer ou Safari (mais pas avec netscape ni avec opera).
[/quote:75d28483a8]
Avec un navigateur, ça se fait très bien, par exemple dans une faille include :
http://monsite.com/index.php?vuln=<scr%00ipt> [i:75d28483a8]etc..[/i:75d28483a8]
(plus d'infos ici aussi, c'est plus général et c'est surtout cette utilisation du byte null qui est en tord : http://www.ghostsinthestack.org/article-16-la-faille-include.html#p2ii)
Donc fais bien attention à strip_tags tout de même :P