PHP - Chat auf eigenem Server "sicher" machen

(English version) Einen Chat mit PHP zu realisieren ist nicht weiter schwer. Relativ schnell merkt man dann auch, dass man Bilder und alles über HTML-Code einfügen kann. Das heißt aber auch, dass man PHP-Code ausführen kann. Das ist natürlich eine große Sicherheitslücke, mit den entsprechenden Befehlen kann man so z.B. den Server formatieren oder ähnliches.

Um das Ausführen von Code zu verhindern kann man nun wie folgt vorgehen: Bevor die Chatnachricht angezeigt wird, wird z.B. das < Symbol durch das entsprechende HTML-Äquivalent ersetzt. Dies wäre <. In PHP funktioniert das so: $chatMessage = str_replace("<", "&lt;", $chatMessage);. Nun kann man keinen PHP-Code mehr ausführen, leider jedoch auch keinen HTML-Code. Um HTML-Code wieder zu aktivieren könnte man z.B. detektieren, ob es sich um bestimmte HTML-Tags (Bild, Link) handelt oder nicht und dementsprechend das Zeichen austauschen.