Hallo,

Ich frage mich gerade wie ich mich vor Angriffen und Sicherheitslücken schützen kann.
Ich habe da ne Seite die es erlauben soll HTML zu posten mit einem WYSIWYG-Editor. Das Problem ist die einfache Manipulierbarkeit. und ein htmlspecialchars() am ende bringt ja nichts wenn ich den HTML-Code korrekt darstellen möchte. Eine Variante wäre natürlich BBCODE, aber das hat auch seine Nachteile...
Es gibt doch bestimmt eine Reihe von Zeichen die man einfach nur ersetzen braucht und schon ist der mögliche Schad-CODE entwaffnet. Eines davon wären die " ", aber die möchte ich nicht hässlich maskiert lassen " " sieht doof aus!

Worauf muss man achten?
Mach ich mir evtl zu viele Gedanken?
Warum gibt es keine Klasse oder ein Geheim-Rezept o.ä. dafür?
Soll ich doch auf BBCode setzen?
Ist BBCode überhaupt nicht manipulierbar?

Kirmse