Все.. понял почему не получалось.. точнее получалось.. на локальном сервере (денвер)
а на самом хостинге фильтр не работал...
вот как правельно :
$statii_show = str_replace("\<script>","",$statii_show);
$statii_show=str_replace("<script","",$statii_show ); // сами наверно поняля зачем))
$statii_show=str_replace("\"","",$statii_show);// фильтруем кавычку
$statii_show=str_replace("\'","",$statii_show);// фильтруем одинарную кавычку
$statii_show=str_replace("\<","",$statii_show); // фильтруем < чтобы не смогли открыть тег
$statii_show=str_replace("\>","",$statii_show);// фильтруем >чтобы не смогли закрыть тег
$statii_show=str_replace("\#","",$statii_show); // Гадский символ
$statii_show=str_replace("\/","",$statii_show);// слэш ))
$statii_show=str_replace("\script","",$statii_show ); // сами наверно поняля зачем))
$statii_show=str_replace("\(","",$statii_show); // скобочки
$statii_show=str_replace("\)","",$statii_show); // скобочки
$statii_show=str_replace("\%","",$statii_show); // % используеться в url кодировки так что он тоже опасен
$statii_show=str_replace("\alert","",$statii_show) ;
$statii_show = str_replace("\\","",$statii_show);

Это для тех у кого возникнит анологичная ситуация