Witam serdecznie! Szybko, krótko i treściwie napiszę o co chodzi.

Mam problem związany z bezpieczeństwem. Nie chcę robić BBCode, tylko bezpośrednio wysyłać formularz do bazy.
Otóż mam edytor na stronie: http://code.google.com/p/jwysiwyg/ , który jest wyświetlany jeśli user ma włączony js. Jeśli nie, to pokazuje mu się po prostu zwykłe textarea.

Jeśli wpiszę do edytora jwysiwyg coś typu <javascript> to zamienia to oczywiście na &lt;javascript&gt; , za to jeśli przy pomocy edytora np. pogrubię czcionkę to wysyła do serwera <b>hahah</b> tak jak powinno. Jednakże bez js jak ktoś wpisze jakiś skrypt - jestem w niebezpieczeństwie, bo to prześle bez konwertowania. Dlatego też dodałem parę linijek:

[PHP] pobierz, plaintext 
$content = str_replace('<script', 'javascript-error', $content);
$content = str_replace('<?php', 'php-error', $content);
$content = str_replace('<?', 'php-error', $content);
$content = str_replace('?>', 'php-error', $content);
$content = str_replace('</script>', 'javascript-error', $content);
$content = str_replace('<iframe', 'iframe-error', $content);
[PHP] pobierz, plaintext 

Za to wyżej jest:

[PHP] pobierz, plaintext 
$title = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['title'])));
$content = mysql_real_escape_string($_POST['content']);
[PHP] pobierz, plaintext 

Czy to wystarczy? Czy powinienem zrobić to w inny sposób? Zależy mi na bezpieczeństwie.

Niepotrzebnie robisz to str_replace, jest to zbędne, wystarczy jak użyjesz htmlspecialchars i mysql_real_escape_string bo z tego co rozumiem użytkownik ma mieć możliwość wstawienia kodu, jednak bez możliwości wykonania.

Z możliwością wykonania, ale potrzebuje jedynie takie znaczniki jak <strong></strong>, <a href=""></a>, <ul style=""><li></li></ul> itp. Takie podstawowe. Da się zezwolić tylko na te które chcę?

Popatrz na dokumentacje strip_tags, masz tam możliwość wybrania znaczników które mogą zostać dopuszczone.