Weiter geht es mit den Problemen, wenn weitere Ausgabemedien/-kontexte hinzukommen. All diese Probleme sind keine mehr, wenn du die kontextgerechte Behandlung konsequent berücksichtigst. Du wirst es nicht durchhalten können, dich generell auf die wenigen "guten Zeichen" zu beschränken. Deshalb ist dieser Alles-Böse-Wegfiltern-Ansatz zum Scheitern verurteilt.

»»
Danke erst mal.

noch konkreter:

In einem cms werden alle Anfragen auf ein Auswertungsscript
geleitet:

DirectoryIndex /auswertung.php?index.html
RewriteRule    ^([a-zA-Z0-9/-]*).html$  /auswertung.php?$1.html

In diesem wird das ensprechende Template, ein Modul (z.B Kontent oder
Mailformular) und der zugehörige kontent aus einer MySql DB angefordert.

Hier möchte ich gegen alle möglichen Angriffe absichern.
In der .htacccess und/oder in der auswertung.php.

Phil