Tach!

Aber weil du das Tag „sicherheit“ hinzugefügt hast, sei explizit gesagt, dass dann alle Links (wenn es denn nur solche sind, die nachbehandelt werden) demaskiert werden. An der Stelle sollte man sich schon sehr sicher sein, dass keine schädlichen Links eingegeben wurden.

Das dürfte aber immer noch sicherer sein, als dem Nutzer zu erlauben, alles Mögliche an HTML, CSS und Javascript einzutragen, oder?

Es kommt darauf an, was das Ziel ist. Will man ein CMS erstellen, sollte man davon ausgehen können, dass nur administrativ berechtigte Nutzer Texte erstellen können. Dann kann man die ganze Sache etwas gelassener angehen. Man möchte in aller Regel sogar dem Anwender die Freiheit geben, sich beliebig zu entfalten. Erstellt man hingegen etwas, das unbekannte Nutzer befüllen sollen, dann kann man nicht vorsichtig genug sein.

dedlfix.