funzione killHTML

[thitan]

ciao

per evitare inserimenti pericolosi e xss injection, ho scritto queste funzioni

Codice PHP:

function killHTML($html){
    $myReg = '/<[^>]*?[^>]*?>/';
    if(preg_match($myReg, $html)){
        $var = preg_replace($myReg, '', $html);
    }else{
        $var = $html;
    }
    return $var;
}

function killXSS($var){
    
    $badString = array('<javascript', '<script', '</script', '<frame', 'onload=', '<layer', '<meta http', '<object', '</object>', '<s', '<a', 'href=', '<body', '<title', '<input', 'src=', 'background=', '<bgsound', '<style', '/>');
    $goodString = array('jav-asc-rip-t', '', '', 'fr-a-me', 'onl-oad', 'la-y-er', '', '', '', '', '', '', '', '', '', 'sr-c=', '', '', '', '');
    
    $var = str_replace($badString, $goodString, $var);
    foreach($badString as $badWord){
        if(stristr($var, $badWord)){
            $var = str_replace($badString, $goodString, strtolower($var));
        }
    }
    return $var;
} 


dove la prima mi trancia di netto tutti i tag html, la seconda invece mi scrive i tag pericolosi in modo 'inoffensivo'..


alor, visto che non sono un esperto di regexp, secondo voi sono abbastanza sicure?
manca qualche tag pericoloso nella seconda funzione?