Не вдавался в подробности - это вот этот символ ? http://forum.netsec.ru/attachment.php?attachmentid=5
Как вариант защиты, я думаю, лучше использовать обычный str_replace ) И чтобы юзвер не знал что ему с ника порезали символы, и всё)