Hallo

Die Problematik der Code-Injection hat dir der Gästebuchterminator schon verdeutlicht - dazu nur eine Anmerkung: strip_tags() ist KEINE vernünftige Alternative zu htmlspecialchars(). strip_tags() löscht je nach Problemfall entweder zuwenig (böse und gefährlich!) oder zuviel (böse und ärgerlich!).

bei mir hat diese Funktion noch nie zu viel entfernt
kannst du mal Beispiele nennen?

mann könnte ja auch erst strip_tags() drüber laufen lassen und dann zum Schluss noch mit htmlentities($text,ENT_QUOTES).