Hocam dediğin gibi kayıt ederken, htmlspecialchars kullandım ve çıktısında da htmlspecialchars_decode kullandım bu istediğim sonucu veriyor yalnız <script>alert("test");</script> dediğimde işliyor bu ve buna benzer zararlı olaylardan nasıl geçerim?
htmlspecialchars ile filtrelemeden önce; script gibi zararlı olabilecek kodlarını aşağıdaki şekilde bozarak kayıt edebilirsin.
$str=preg_replace("#<script[^>]*>#si","[script]",$str);