Tach!

[...] sollte das sein, wonach du suchst. Eventuell musst du den Inhalt noch escapen (je nachdem, ob du HTML eingeben willst oder plain-text (escapen nötig)) und dann beim Anzeigen im Editor wieder deescapen. Stichwort htmlspecialchars bzw. htmlspecialchars_decode.

Nicht für das Dateisystem (sprich: die Textdatei) muss maskiert werden, aber beim Einfügen in HTML, und zwar für den Editierzweck und die normale Ausgabe. htmlspecialchars() ist dafür ausreichend.

Soll der Administrator HTML eingeben können, das auch noch ausgeführt werden soll, dann muss die Maskierung nur beim Editiervorgang erfolgen, nicht aber bei der normalen Ausgabe. Außerdem muss dann der Administrator dann selbständig die Einhaltung der Maskierregeln beachten, wenn er seinen Text eingibt.

dedlfix.