Sikker tagwall

Teksten som du henter ud af databasen kan du køre funktionen htmlentities() på. Den laver tegn som < og > om til deres html kode, i dette tilfælde &lt; og &gt;.

Det som du sætter ind i databasen, er som regel allerede beskyttet med phps automatiske quote funktion, kaldet magic quotes.

det er dog også en funktion som hedder mysql_escape_string(), som også kan bruges til formålet, og givetvis er mere sikker.
Så du kan gøre noget i retning af:

if (get_magic_quotes_gpc()) $str = stripslashes($str);
$str = mysql_escape_string($str);

Jeg kigger på det tak :)

øhhm.. lige en ting.. jeg har brugt følgende:
$str = $row[msg];
if (get_magic_quotes_gpc()) $str = stripslashes($str);
$str = mysql_escape_string($str);
echo "<i>$str</i>";

men den viser stadig de <img> tags jeg har tastet ind i en tag på tagwallen. er det meningen?
skulle den ikke også ligesom htmlentities() fjerne alt "kode" fra $str ?
eller beskytter den bare mod misbrug, som php kode? og sql commandoer? for i så fald er det jo også fint nok =)