Originariamente inviato da K-Line
solo un appunto che forse può risultare utile...
se il testo è stato immesso dall'utente in un browser io penso che sarebbe meglio farlo pulire ad un javascript, così il lavoro lo fa il browser dell'utente e non il tuo server... che ne dite?
io i controlli preferisco sempre farli lato-server che non lato-client, anche perché se io ho js disabilitato il controllo non viene eseguito, mentre se spedisco il testo al server e da lì lo ripulisco e ci faccio tutti i miei controlli non lo possono aggirare.