Hello,

ich habe mir den Befehl htmlspecialchars() aus dem Beispiel von http://www.selfphp.info/funktionsreferenz/string_funktionen/htmlspecialchars.php kopiert. der sollte ja gehen ;)

Warum? Nur weil das Beispiel auf EINER Seite stand?
Selbst im Manual zu PHP sind immer wieder Fehler oder "Unterlassungen" zu finden. Und das wird täglich von Hunderten Leuten benutzt, die durchaus schon PHP können und solche Fehler auch finden und Rückmeldung geben.

und zu meinem Problem:
ich will jeden html tag erlauben!!!

Dann kann man Deine Seite mittels HTML, CSS und JavaScript gewaltig missbrauchen. Wenn Du dann auch noch irgendwo ein "offenes" Formmailer-Script ferumliegen hast, musst Du Dich nicht wundern, wenn es bals eine Menge SPAM mit Deiner IP (solltest Du eine feste haben) im Internet gibt.

Daten sollten nach dem Empfang immer erst wieder rückkodiert werden in ein Raw-Format. Das ist eigentlich meistens noch der "normale" ASCII-Code. Hängt natürlich auch von Deiner persistenten Speicherung ab, also was Dein API, Dein OS/Filesystem und Deine Datenbank unterstützen. Das muss alles zusammen passen, damit keine Information verloren geht/hinzugemogelt wird (Konsistenz) und alle Codierungen reversibel bleiben.

Die vom Browser übermittelten Daten werden von der Web-Schnittstelle (PHP-HTTP-API) teilwese automatisch dekodiert (urldecode() --> http://de3.php.net/manual/de/function.urldecode.php) oder mit Schutzmaskierungen belegt (magic_quotes_gpc --> http://de3.php.net/manual/de/ref.info.php#ini.magic-quotes-gpc.

Wenn Du die Daten im Rohformat benötigst, um sie zu verarbeiten, musst Du die Magic-Quotes erst wieder entfernen, wenn sie gesetzt wurden. Das kann man in einer rekursiven Funktion eutomatisch machen und zwar mit dem jeweil benutzten kompletten Transfer-Array ($_GET, $_POST, $_COOKIE)

#--------------------------------------------------------------------
function strip($_data)              ## Datenarray übernehmen
{
  if (!get_magic_quotes_gpc())      ## wenn keine magic-Quotes eingefügt
  {                                 ## wurden, wird das Array unverändert
    return $_data;                  ## zurückgegeben und die Funktion beendet
  }

if (is_array($_data))             ## wenn der übergebene Wert ein Array ist
  {
    foreach($_data as $key => $val) ## wird die Funktion für jedes Element des
    {                               ## Arrays diskret aufgerufen
      $_data[$key] = strip($val);   ## und das umgewandelte Array zurückgegeben
    }
  }
  else                              ## sonst wird der Wert direkt umgewandelt
  {                                 ## und zurückgegeben
    $_data = stripslashes($data);
  }

return $data;
}
#--------------------------------------------------------------------

Aufruf erfolgt dann z.B. durch:

$_POST = strip($_POST);             ## Danach sind die Maskierungen aus
                                    ## den $_POST-Elementen entfernt

Nun musst Du aber selber besondere Voricht beim Umgang mit den Werten walten
lassen. Du darfst sie nicht in den Execute-Focus des Parsers oder einer anderen
aktiven Schnittstelle (Datenbank-API --> Query) legen, ohne sie vorher wieder
genau untersucht oder entsprechend behandlet zu haben
(z.B. mysql_[real_]escape_string() --> http://de3.php.net/manual/de/function.mysql-escape-string.php)

Aus Erfahrung kann ich Dir raten, dass Du keinerlei html-Tags
  dazu gehören auch
  - <link rel...>
  - <meta ...>
  - <style ...>
  - <script ...>
zulassen solltest, sondern besser für die paar erlaubten Operationen [bb]-Codes einführen solltest.

Allerdings leben Foren- und Bord-Systeme davon, dass die Benutzer bedingt fremde Inhalte einbinden können, gegeseitig auf Beiträge mit aktiven Links verweisen können. Du solltest Dir also ein System überlegen, bei dem die Benutzer das können, Du als betreiber aber die volle Kontrolle über derartige Dinge behältst. Insbesondere, wenn auf externe Quellen verwiesen wird!

Harzliche Grüße aus http://www.annerschbarrich.de

Tom