Ich würde mir keine Gedanken darüber machen, was alles nicht möglich sein soll, sondern darüber, was alles möglich sein soll. Dinge, wie <img> oder <hr> haben in einem Chat einfach mal nix zu suchen.
Ich denke mal, <font>, <b>, <u>, <i> und <a> sollten als HTML-Zusatz genügen. strip_tags() hilft einem da ungemein. Allerdings ist sowas dann noch immer möglich: <b onmouseover="window.open('...');">Bemaus mich!</b>
Oder HTML generell verbieten und eigene Tags erlauben, so wie hier im Forum [b ] und so.
|