Есть мнение, что в тексте иногда нужно оставить все html тэги и убрать только код < ?php ? >, < iframe >, < script > и тому подобное, включая нулевой символ. Каким образом это сделать? Может есть какая-то специальная функция?
с помощью функции htmlspecialchars уничтожается html и отображается вместе с текстом. А соль в том, чтобы html оставить как разметку текста, а убрать только вредные скрипты. Если можно по подробнее расскажите! Пример удаления рабочих скриптов из текста! У меня очень туго с регулярками. Я их ещё не понимаю!
к примеру тэг <img> сам по себе безобиден, но можно навернуть так: HTML: <img src="i.jpg" onload="йа_злой_жабаскрипт" /> Вообще для начала занялся бы ты BB-кодами так, как Без опыта тут можно XSS-дуршлаг только наворотить Но если очень нужно, погугли на тему safeHTML.