Hi,

ist das richtig, dass ich sämtliche Eingaben, die per POST oder GET kommen, mittels strip_tags überprüfen bzw. bereinigen sollte, damit mir niemand schadhaften Code unterjubelt?

nö.

Oder kann ich das ab PHP 5.x komplett sein lassen?

Daten vom Client blind zu vertrauen wird *immer* falsch sein. Es gibt aber nicht per se Gründe, irgendwelche Dinge, die nach HTML aussehen, pauschal wegzuschmeißen. Statt dessen kannst Du dem Grundsatz folgen:

Wenn Du einen Wert in einen Kontext bringst, musst Du ihn kontextspezifisch kodieren.

Damit wird, wenn z.B. jemand <script type="text/javascript">evil_function();</script> eingibt, das selbe passieren wie hier im Forum: Der scheinbare Code ist harmloser Text. Beachte obigen Grundsatz bei *jedem* Umgang mit *allen* Daten.

Cheatah