Существует функция htmlspecialchars , которая будет кодировать символы в их HTML-эквивалент. Например < становится <
Кроме того, вы можете удалить все подозрительные теги. Некоторое время назад я написал короткую функцию js, чтобы сделать это для проекта (отнюдь не всеобъемлющего!). Возможно, вы захотите взять это и отредактировать для своих нужд или основывать свое собственное на нем ...
<script language="javascript" type="text/javascript">
function Button1_onclick() {
//get text
var text = document.getElementById("txtIn").value;
//wype it
text = wype(text);
//give it back
document.getElementById("txtOut").value = text;
}
function wype(text) {
text = script(text);
text = regex(text);
return text
}
function script(text) {
var re1 = new RegExp('<script.*?>.*?</scri'+'pt>', 'g');
text = text.replace(re1, '');
return text
}
function regex(text) {
var tags = ["html", "body", "head", "!doctype", "script", "embed", "object", "frameset", "frame", "iframe", "meta", "link", "div", "title", "w", "m", "o", "xml"];
for (var x = 0; x < tags.length; x++) {
var tag = tags[x];
var re = new RegExp('<' + tag + '[^><]*>|<.' + tag + '[^><]*>', 'g');
text = text.replace(re, '');
}
return text;
}
</script>