Hallo, da ich gerade für meine Seite ein Forum programmieren will habe ich noch eine Frage, was muss man tun, damit wenn man z.bsp. in ein Feld testeste oder der Text heraus kommt und kein html verwendet wird(genauso bei php)!. Ich bitte um hilfe(DANKE im voraus)!
Funktionen dafür gibt es in zwei Geschmacksrichtungen:
[ul]
[li][url=http://php.net/function.htmlspecialchars]htmlspecialchars/url[/li]
[li][url=http://php.net/function.strip-tags]strip_tags/url[/li][/ul]
Die erste codiert HTML- und PHP-Tags, die zweite entfernt sie. Ich würde dir zu der ersten raten, da siehst du, wer versucht hat, HTML zu verwenden. 
Kann man da auch ausnahmen dann auch machen, z.bsp. das funktioniert?
Nein. Das heißt, strip_tags() hat den Parameter $allowable_tags, der festlegt, welche Tags erlaubt werden sollen. Der ist aber mit Vorsicht (bzw. gar nicht) zu genießen, denn JavaScript-spezifische Attribute wie onload werden nicht entfernt. Also kann ein beliebiges Script ausgeführt werden und die Sicherheit ist damit im Arsch.
doch das geht…
Ich würde aber das hier verwenden
$allowed=array("img");
$allowed=implode("|",$allowed);
$var = preg_replace("/<\/?[^$allowed][>|(.+)>]/","<x>",$var);Ungetestet!
