Bueno, mirando el code de vBulletin 4.0.1, pude sacarle 2 XSS en menos de 10 min, tratando de mirar el code, me encuentro una función escape_string. Pero WTF! no creo que sea una funcion propia del PHP o si?

cuando yo no se la existencia de una funcion me meto en la pagina de php: php.net/function.escape_string

y te das cuenta si existe o no.