Hello,

mysql_real_escape_string in die MYSQL Datenbank

und raus in die Freiheit mit

nl2br(htmlspecialchars(AUS DER DATENBANK))

Das nl2br() kannst Du dir auch noch schenken, wenn Du per CSS den passende Style wählst:

  
whitespace:pre-wrap  

könnte da schon helfen.

Aber wenn ich den Code der über ein Formular eingeben wird, nicht in die Datenbank schreiben möchte, kann ich in wahrscheinlich mit strip_tags einigermassen bereinigen, oder?

Kommt darauf an, was Du damit machen willst.
Wenn der vermeintliche Code per Formular ankommt im Script, dann wird er ja vermutlich erstmal in einem Element von $_POST oder $_GET landen.

Solange du nichts weiter damit machst, ist er in diesem Speicherblock "gefangen". Erst, wenn Du mit dem String etwas unternimmst, wird es spannend.

Die Ausgabe des Strings auf die HTML-Ausgabe kann aber bestenfalls Irritationen beim Browser verursachen, wenn Du nicht das htmlspecialchars() benutzt.

Die einbindung in den Code im weiteren Script oder das Speichern des Codes als oder in einem eigenständigen Dokument kann aber schwerwiegende Folgen haben.

Beim Aufruf des Dokumentes per HTTP/s könnte der Code ggf. aktiv werden.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg