Отрицательный взгляд - правильный путь, насколько я понимаю ваш вопрос:
^((?!_)\w)+$
То, что вы описали, звучит как XSS-атака. Я заметил, что на сайте есть раздел комментариев, так что вы можете захотеть найти любые <script>
элементы или события «onload», а затем удалить любые дальнейшие подобные атаки при обработке этих комментариев.
Я сам, к сожалению, не мог воспроизвести описанную вами ошибку, предполагая, что вы имели в виду следующую ссылку:
blockquote>Если мое предположение окажется верным, я советую вам снимать атаки с бэкэнда, а не с внешнего интерфейса.