Hallo,

Auf dem Server werden die Eingaben noch einmal überprüft.

na dann is' ja gut.

Aber ist das nicht zu spät für Cross-Site Scripting mit JavaScript?

Nö. Eher zu früh. An der Stelle, wo du jetzt gerade operierst, musst du die Eingabe nur soweit einschränken oder maskieren, dass sie bei der serverseitigen Verarbeitung (PHP?) keinen Schaden anrichtet. Da sehe ich aber im Moment kein Problem.

Das Problem entsteht eigentlich erst dann, wenn du diese Eingaben wieder in den HTML-Kontext ausgeben willst - also bei der Ausgabe an den Client durch das PHP-Script. Dort solltest du dann z.B. htmlspecialchars() verwenden, um Zeichen zu maskieren, die vom Browser sonst ungewollt als HTML verarbeitet würden.

Das verwendete Pattern ist auch nur vorläufig. Verbesserungsvorschläge werden gerne genommen! Oder reicht auch [^script] oder Ähnliches?

Wie gesagt: Nach dem, was ich bis jetzt verstanden habe, bastelst du gerade an der völlig falschen Stelle.

Live long and pros healthy,
 Martin