Hallo Nikki,

Gerade wenn ich Html erlaube muss ich ja auf so
nützliche Werkzeuge wie strip_tags verzichten.

Wie kann ich dann aber verhindern,
dass niemand Code auf meinem Server
ausführen lässt( Egal ob VB,Javascript, oder PHP) ?
Insbesondere wenn ich die da an eval() denke.

Nach deiner Beschreibung wird der HTML Quelltext, der als E-Mail versandt werden soll also von einem User dynamisch eingegeben.
Hierbei kann dieser natürlich alle in HTML zur Verfügung stehenden Scriptsprachen nutzen (JavaScript, JScript, VBScript). Diese werden wie bei HTML üblich aber nur beim Anzeigen in einem Browser oder HTML fähigen E-Mail Programm (vielleicht) ausgeführt.
Auf deinem Server kann niemand direkt Code starten, zumindest nicht solange du sauber programmierst.

Ich kenne PHPs eval() leider nicht. Aber wenn man diesem einfach eine HTML Seite mit <?php ... ?> Tags übergeben kann, so könnte ein User durchaus PHP Code auf deinem Server ausführen.
Aber sage mir doch mal bitte, wieso du die Daten die via E-Mail versandt werden sollen durch eval schicken willst?

Viele Grüße,

Stefan