forbyde HTML i udskrivning

Prøv med metoden: htmlspecialchars();

eks.
$letter = '<b>Dette er fed</b>';
echo htmlspecialchars($letter);

the ghost kunne du ikke vise mig hvordan men insætter det i et scpirt det ville være lidt nemer for mig og se hvordan det virker så : )

if (isset($_GET['post_id'])) {



$ress=mysql_query("SELECT * FROM bruger_indbakke WHERE id='{$_GET['post_id']}' and bruger_id = '{$_SESSION['id']}'") or die (mysql_error());
if(mysql_num_rows($ress)==0){
  echo "Der findes ikke en besked med det nummer.";
} else {
  $roww=mysql_fetch_assoc($ress);
  echo "haedline: " . $roww['emne'] . "</h1>";
  echo "" . $roww['tekst'] . "<br><br>"; 
}

kan du ikke forklære den fordi jeg er ikke med

if (isset($_GET['post_id'])) {



$ress=mysql_query("SELECT * FROM bruger_indbakke WHERE id='{$_GET['post_id']}' and bruger_id = '{$_SESSION['id']}'") or die (mysql_error());
if(mysql_num_rows($ress)==0){
  echo "Der findes ikke en besked med det nummer.";
} else {
  $roww=mysql_fetch_assoc($ress);
  echo "haedline: " . htmlspecialchars($roww['emne']) . "</h1>";
  echo "" . htmlspecialchars($roww['tekst']) . "<br><br>";
}

Det vil nok også være en fordel at validere din GET variable, før du sætter den direkte ind i databasen. (af sikkerhedsårsager).
Eks.:

$postID = (int) $_GET['post_id']
if (isset($postID) && $postID > 0) {

det vil sige hvis men ptter den i htmlspecialchars så kan der ikke være html i eller ??

Hvad så vis men godt vil ha nogle html tags ?

Du kan læse mere om htmlspecialchars() funktionen her: http://dk.php.net/manual/da/function.htmlspecialchars.php

Hvis du gerne vil acceptere nogle html tags, bliver du nød til selv at lave en funktion, som kun replacer HTML tags, hvis de ikke er tilladt! - Du kan evt. finde nogle eksempler på sådanne funktioner i linket ovenfor.