Hallo allerseits,

Ich habe ein PHP Script, welches Daten in eine ausführbare PHP Datei (oder besser gesagt in eine Variable des Codes) schreibt. Dies ist natürlich ein riesiges Sicherheitsproblem und lädt förmlich dazu ein, bösartigen Code in die Datei zu schreiben.
Gibt es eine Methode um PHP Code zu neutralisieren und trotzdem HTML zuzulassen?

Die Datei wird nach diesem Schema erstellt (plus weiteren Code):

  
<?php  
  
$html = <<<HTML  
{hier kommt der Code, der durch den user gesetzt wird}  
HTML;  
  
?>  

Ich weiss, das diese vorgehensweise ziemlich dämlich ist. Aber wenn ich die Seite sonst editierbar machen will, würde das wohl bedeuten alles neu zu schreiben. Zudem befindet sich das Script zum Ändern der Datei in einem geschützten Bereich.

Vielen Dank für eure Hilfe,

Luegg