@@j4nk3y

Das habe ich schon oft gehört und daher prüfe ich in einer generellen abfrage alle POST variablen auf mögliche Gefahren. Die ist sicher noch nicht fertig aber ich weiss um die Schwachstelle. Das sieht bei mir im Moment noch so aus, wird aber zu gegeben Zeitpunkt erweitert.

Nein, falscher Ansatz.

Anstatt zu versuchen, eine Blacklist mit allem zu erstellen, was gefährlich ist (die du vermutlich nie vollständig hinbekommen wirst), solltest du eine Whitelist erstellen mit dem, was unbedenklich ist.

Falls du das überhaupt brauchst. Sollen Nutzer HTML-Tags verwenden dürfen? Vielleich keine so gute Idee.

Wenn sie Text formatieren und Links setzen können sollen, bietet sich Markdown an. (Wie hier im Forum.)

LLAP 🖖