Можно ли обойти str_ireplace()?. Она у меня заменяет слово javascript: на js как бы закрывает уязвимость в использование вв кодах (НАПРИМЕР javascript:alert().
Нет, не можно. Но лучше не резать то, что вводит пользователь, а просто оборачивать все в теги соответвтующие. Типа <pre>. И черта с два там что-то сработает. И информация пользователя не тронута.