Hello,

Danke für die Antwort. Das Ziel war dem User eine einfache Textformatierung zu erlauben und Script braucht es nicht. Ich filtere deshalb wie vorgeschlagen die <script>-tags. Php-tags werden schon durch den Editor gefiltert.

Was heißt: "Php-tags werden schon durch den Editor gefiltert"?

Der Editor arbeitet doch aner auf dem Client, oder?
Dann könnte man also mit einem eigenen Formular eine Textsequenz zum Server übermitteln, die PHP-Code nebst der des notwendigen Tags enthält und die würde dann auf dem Server dem Parser übergeben?

Damit bin ich hoffentlich auf der sicheren Seite, oder gibts noch andere tags die "bösartig" verwendet werden könnten?

Das hängt davon ab, wie Du die übertragenen Daten auf dem Server behandelst.

Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)