Was tun, wenn der Kunde auf einen WYSIWYG Editor für die Benutzereingaben besteht? Der leidgeprüfte Webentwickler denkt hier sofort an das, was nicht nur für Fox Mulder gilt: "Vertraue niemandem!" Von Benutzern eingegebenes HTML zerschießt das schöne Layout oder enthält sogar <script>-Tags und präparierte Bilder, die Malware auf dem Rechner des nichtsahneden Besuchers installieren. Also greift er zu strip_tags und ein paar regulären Ausdrücken und das Unheil nimmt seinen Lauf. Denn strip_tags und reguläre Ausdrücke können einfach nicht die gesamte Bandbreite an Boshaftigkeit des Internet filtern.