Ok, jetzt habe ich ein Dilemma, ich muss den Benutzern erlauben, unformatiertes HTML einzufügen, aber auch alle JS-Tags auszublenden - nicht nur Skript-Tags, sondern von der href usw. im Moment ist alles, was ich weiß

htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

Damit werden aber auch gültige Tags in codierte Zeichen umgewandelt. Wenn ich Striptags benutze, funktioniert es auch nicht soentfernt Stichworte! (Ich weiß, dass Sie Tags zulassen können, aber die Sache ist, wenn ich Tags wie zulasse<a></a> Leute können schädliche JS hinzufügen.

Kann ich irgendetwas tun, um HTML-Tags zuzulassen, aber ohne die XSS-Injektion? Ich habe eine Funktion geplant:xss() und habe die Vorlage meiner Site damit eingerichtet. Es gibt den maskierten String zurück. Ich brauche nur Hilfe beientkommen :))

Vielen Dank!