Ich bin immer noch nicht ganz fertig mit den Sicherheitsbedenken! :) (...bin da auch alles andere als bewandert!)

Ok, wenn ich also html-tags verbiete, bzw weiter mit htmlentities arbeite, dann müßte ich die strings nochmals zerstückeln, um die Tags hart zu kodieren (oder andersrum gesagt: die Tags aus den Strings rauszubekommen) und den sichtbaren Inhalt wieder als Variable einfügen. Dann erschiene höchstens, im Falle eines Angriffsversuchs, der Code als Text im Browser. Habe ich das richtig verstanden?

Nur mindestens zwei Dinge sind böse: 1. PHP Code Include, und 2. Userdefiniertes HTML mit beliebiger Javascript-Einbindung.

Zu 1.:
Was wäre denn eine Alternative zum include()? Jetzt in jede php den html-header reinschreiben scheint mir keine gute Lösung. Dazu ist es doch da, oder? Habe bei php.net auch schon ein paar Kommentare gesehen, daß das include() als 'deprecated' gilt, verstanden warum, habe ich es allerdings nicht so richtig.

Zu 2.:
was heißt das?
Beispiel: wenn ein User/Bot/wasauchimmer JavaScript einträgt, was würde denn damit passieren, nach der Bearbeitung mit htmlentities()? Würde der Code ausgeführt werden oder als Text dargestellt?

Danke für Eure großartige Hilfe!
chris