Da ich einige Formulare auf meinen Seiten benutze, mit denen zum Beispiel jemand News posten kann und ich somit diese Formulare nicht nur selbst benutze muss ich diese ja absichern, damit keiner die Formulare irgendwie Zweckentfremden kann. Momentan nehme ich alle HTML Tags raus (außer zB b,i,br). Muss ich überhaupt, und wenn ja, welche Zeichen muss ich noch filtern, damit niemand mit den Formularen meine Page "kaputt" machen kann. Bzw wie macht ihr das so?

Mister Ad

gibts da besonders empfehlenswerte Funktionen oder wie machst du das?

Magic

1. ereg ist veraltet, die preg_ Funktionen sind da schneller.
2. < und > erlauben? Dann sind auch HTML-Tags möglich

Filter einfach mit htmlentities oder htmlspecialchars die HTML-Tags raus. Wenn du einzelne Tags erlauben willst, könntest du BB-Codes erlauben, so wie hier im Forum. Diese werden dann bei der Ausgabe in HTML-Tags umgewandelt.
Beispiele dazu findest du hier im Forum, einfach mal nach "BB-Codes" suchen (mit Anführungszeichen).
Normalerweile reicht das. Aber da ich nicht weiß wie dein Script genau aussieht, kann ich nichts weiter dazu sagen.

http://de.php.net/htmlspecialchars
http://de.php.net/htmlentities
http://de.php.net/preg_replace
http://de.php.net/preg_match

vor allem geht es mir darum keine durch User verursachten Fehler auf der Seite zu haben. Ich denke die Inhalte sind dann nicht relevant, da es nur darauf ankommt was der User machen KÖNNTE und wie ich es ausschließen kann