htmlspecialchars entfernt keine Zeichen, sondern wandelt in ihre Entity-Schreibweise um, so dass sie "ungefährlich" sind.

also damit wäre die gefahr gebannt?

noch eine frage dann dazu:

ich habe eine seite, wo besucher ihre eigenen lieblingslinks eintragen können. es gibt 3 hauptfelder: name, link, beschreibung

bei name und beschreibung habe ich das nun mit dem obigen code entschärft, aber wie mach ich das am besten bei links, denn da sollen ja echte links da sein.

die ausgabe in php ist etwa so:

echo "$name.....<a href='http://$link' target='_blank'>link</a>.......$beschreibung";