Как защитить поле комментариев от вставки ява скриптов внутри тега типа onClick

[dandandan]

А если сделать замену выражения на просто тэг <strong> и все.

Кстати это идея.

Только тогда как-то так:

'<*[^<>]strong[^<>]*>'si

 

[Kloster]

Кстати это идея.
Только тогда как-то так:
'<*[^<>]strong[^<>]*>'si

Перед стронгом вряд ли что-то будет, ну уж если надо и там все вырезать, то немного неправильно написано. В такое правило будет и закрывающий стронг попадать. А в него тоже могут впихнуть скрипт... да, об этом я не подумал, тогда лучше их разделить. Предложенный вариант не будет работать, его можно изменить на такой

'<[^<>]*strong[^<>]*>'si

Но он и вот это </strong> превратит в <strong>
чтобы такого не получалось, можно сделать ход конем

<(\/)?[^<>]*strong[^<>]*>

и в строке замены указать <\\1strong>, тогда если закрывающий тэг попадется, он его нормально заменит

 

[dandandan]

Перед стронгом вряд ли что-то будет

не что не мешает написать <onclick="alert('13');" STRONG>

А вот вырезание всего слева и справа это хорошая идея. Теперь если в регулярке STRONG заменить на другой тег - получится регулярка для другого разрешенного тега, а остальные фильтровать через striptags.