Hallo!

Ich hab nun auf meiner Website mein eiegnes Gästebuch geschrieben mit Php/MySQL. Über ein <Form> frag ich die Sachen ab, überprüfe die Eingabe und schreibe Sie dann in die Datenbank. Dabei kann man wählen zwischen "Text" und "HTML".
Wählt man "Text", so werden alle HTML-spezifischen Eingaben in &...; umformatiert, so dass es keine Tags, sondern nur noch Text ist.
Wählt man "HTML", überprüfe ich auf Eingabe wie z.B. "<Script", "<?", "/html" usw, also alles, was bösartig verwendet werden könnte oder meinen Gästebuchquelltext vorzeitig beenden könnte, wie zB "/table".

Was sollte eurer Meinung nach indiziert werden, also nicht erlaubt sein?

zur Zeit habe ich:

"<script", "<?", "/body", "<head", "<body", "<html", "/html", "/td', "/tr', "/table", "<embed"