Mit "echten" HTML-Tags kann man aber fast alles anstellen -> ganz böße. Nimmt htmlspecialchars/htmlentities, das konvertiert z.B. < zu < was der Browser dann wieder als < anzeigt ohne Code (wie Javascript, Flash, designzerstörendes etc.) auszuführen. Alles andere ist grob fahrlässig. Für Formatierung schau mal in Richtung BBCode.
hatte sowas ähnliches vor. danke dennoch