Jag bygger ett forum, men vill hindra användarna från att skriva in HTML-kod, eller i varje fall så att den inte laddas som HTML-kod. Någon bra lösning? Ska man kontrollera så att texten inte innehåller några taggar (<>)?

Finns en funktion för det som heter Server.HTMLEncode():
<code>
Dim strText
strText = "<H1>Lite html...</H1>"
Response.Write Server.HTMLEncode(strText)
</code>

Okej, verkar bra. Men det blir konstig text av HTML-koden va? Alltså, den ignorerar inte bara koden, utan den skriver ut en massa konstiga tecken istället?

Den formaterar texten så att HTML kod skrivs ut istället för att körs/formateras. Jag tycker detta är rätt sätt att hantera det på. Man bör av säkerhets skäl alltid formater sin textdata med Server.HTMLEncode() alternativt Server.URLEncode() om det rör sig om ett värde i en URL.

Data bör sparas oförändrad och funktionen bara anropas vid visning. Man kan alternativt "cacha" den formaterade texten i en separat kolumn som man håller uppdaterar vid förändringar.

Okej, tack.