Hi,

Welche Funktionen benutzt ihr um schädlichen Code aus Eingaben zu entfernen.

Das kommt auf den Kontext an.

Als wie ausreichend würdet ihr folgende Funktion beurteilen?

Als ausreichend bloedsinnig.

function html2txt($document){
$search = array('@<script[^>]*?>.*?</script>@si',  // Strip out javascript
               '@<style[^>]*?>.*?</style>@siU',    // Strip style tags properly
               '@<[/!]*?[^<>]*?>@si',            // Strip out HTML tags
               '@<![\s\S]*?--[ \t\n\r]*>@'        // Strip multi-line comments including CDATA
);
$text = preg_replace($search, '', $document);
return $text;
}

Sei ehrlich - die hast du irgendwo "weggefunden", aber was sie macht und warum, davon kaum 'nen Schimmer?

htmlspecialchars reicht in aller Regel aus. Wenn der Nutzer HTML-Code eingeben will, dann lass ihn doch - dann wird er halt als Text angezeigt; so wie bspw. hier im Forum auch. Waere ja schoen bloed, wenn man hier nicht mal Beispielcode posten koennte, weil er uebereifrig rausgefiltert wuerde ...

MfG ChrisB