Hallo Hitzering,

der User gibt also irgendwas ein und du gibst es wieder aus. Was der User eingegeben hat, kann Dir eigentlich egal sein und du musst da auch nicht zwingend was ausfiltern. Du musst nur

• beim Speichern in einer DB dafür sorgen, dass der Text korrekt für die DB escaped wird (oder mit einem Prepared Statement gespeichert wird)
• beim Ausgeben auf den Browser dafür sorgen, dass der Text rein als Text dargestellt wird und im Browser keine Effekte auslöst (htmlspecialchars).

Allerdings beißt sich Punkt 2 mit deinem Wunsch, etwas fett darzustellen. Wenn Du den eingegebenen Text durchsuchst und die gefundenen Wörter HTML Elementen einrahmst, würden die von Dir vergebenen HTML Tags ebenfalls von htmlspecialchars maskiert. Du musst also zuerst htmlspecialchars anwenden, und dann die gewünschten Wörter durch Fettschrift-Elemente einrahmen. Ob Du dafür b, em, strong oder mark nimmst, hängt von der semantischen Aussage ab - siehe die entsprechenden Texte im Selfwiki.

Rolf