Ok...teoricamente finisce tutto qui ma proprio da qui iniziano i problemi complementari. Questi problemi si dividono in due tronconi:
1) caso in cui abbiamo un'amministrazione privata a cui accediamo solo noi
2) caso in cui c'è un form in cui tutti gli utenti inseriranno del testo
Nel primo caso sappiamo benissimo come comportarci: sapendo che il codice HTML è attivato non inseriremo mai una stringa di questo tipo
code:
<script>alert('metallica ce l'ha piccolo');</script>
Nel secondo caso invece dobbiamo prevenire i furbacchioni che, sicuramente, inserirebbero codice strano.
Alcuni potrebbero dire: "EMBE'...usiamo la funzione htmlspecialchars che trasforma i caratteri più "pericolosi" (come <, ", ') nel rispettivo codice ascii."
Ok...però così facendo, se non stiamo attenti, ci fottiamo la funzione nl2br; infatti i
potrebbero essere trasformati in <br />.