Hallo Forum

Zusätzlich zu...
http://forum.de.selfhtml.org/?t=163607&m=1065438

habe ich noch ein Spezialproblem :-)

Habe in mein Programm folgenden "web based rich text editor" eingebaut:
http://www.unverse.net/whizzywig-cross-browser-html-editor.html

Da kommt ein HTML-Code raus und den schreibe ich in eine SQL-DB und gebe die Daten wieder aus.

strip_tags() und htmlspecialchars(), die ich für "normale" textfelder verwende (siehe anderer Beitrag) kann ich jetzt alles gar nicht verwenden, weil es soll ja explizit ein HTML Code sein.

Bedeutet dies nun, dass die Verwendung eines solchen Editors ganz prinzipiell unsicher ist? Oder gibt es Möglichkeiten zwischen einem schädlichen und einem harmlosen HTML Code zu unterscheiden?

Vielen Dank im Voraus und Gruss
Chris