Witam.

Tworzę portal który jest cały oparty na php. Wszystkie podstrony to plik index z GET np index.php?strona=statystyki

Proszę o radę ponieważ mam problem.
Każdy użytkownik otrzymując swoje konto w portalu będzie mógł stworzyć swoją mini stronę internetową. Edytuje ją w polu textarea. Jak zrobić aby to co użytkownik tam wpisze było w jakiś sposób filtrowane? Tzn chodzi mi o to aby wpisując tam kod php on po prostu nie działał i nie wpływał na serwer ale aby wcześniej zdefiniowane zmienne np $zmienna1 w nim działały?

Przypominam, że tworzone przez użytkowników strony również są w pliku php w echo. W wpisanym przez użytkownika kodzie powinien działać html, css oraz javascript.

Mam nadzieję, ze wytłumaczyłem w miarę, zrozumiale. Proszę o pomoc.

Zapisuj z innym rozszerzeniem?

tak ale strona każdego użytkownika jest w tym samym pliku, tylko jest rozróżniana ponieważ na serwerze działa widcard, i na każdej subdomenie jest strona każdego użytkownika. Na dodatek treść strony użytkownika jest z bazy danych więc zostaje tylko php

Jak dla mnie, to trochę skiepszczyłeś: na dobrą sprawę, musisz napisać cały nowy parser, który będzie Ci sprawdzał, czy nie ma tam jakiegoś złośliwego kodu.

O ile w innych przypadkach to jest kwestia do polemiki, ale tutaj aż prosi się o jakiś prosty system szablonów. Chociażby na bazie str_replace.

Rozumiem, że filtracja powinna być przed wysłaniem kodu do bazy?

W jaki sposób to wykonać? Wcześniej używałem tylko mysql_escape_string ale to raczej nie zda egzaminu bo w kodzie html również są cudzysłowia i apostrofy.