Hi,

Du solltest Deinen Horizont erweitern. Eine Textarea ist ein HTML-Element - nicht mehr.

Deshalb bin ich hier ins Forum gekommen.

Aber wenn Du Formularinhalte in einer MySql-Datenbank verarbeitest, solltest Du die hierfür vorgesehene Schutzfunktion mysql_real_escape_string() anwenden. Und wenn Du die Inhalte später in einer HTML-Seite ausgibst, die hierfür vorgesehene Funktion htmlspecialchars(). Und falls Du eine Usereingabe verlinkt ausgibst, solltest Du zusätzlich auf JS-Eventhandler prüfen - sonst könnte ein generierter Link z.B. auch so aussehen:
<a href="http://example.org" onmouseover="window.location='http://example.org/trojaner.html">

Das Rumgehampel mit PHP und JS ist nicht sinnvoll.

Wie ich eingangs schrieb wird beim Abesenden der Text mit PHP nachbearbeitet. Die Funktionen sind mir bekannt. Ich wollte mich nur vergissern ob es möglich ist, auch, wenn der Code nur vom Schreiber gesehen wird, etwas schadhaftes anzustellen.
Ich bin kein JS-Profi, deshalb dachte ich mir, dass ich lieber dort nachfrage, wo welche zu finden sind :)

Dann werde es folgermaßen betrachten:

Die JS Funktion dient dazu um "html/js Code" innerhalb der Vorschau sichtbar zu machen.

freundliche Grüße
Ingo

Gruß zurück.