Para filtrar las etiquetas html lo que tenemos que hacer es usar la funcion str_replace:
si el usuario atacante coloca < o > estos se convertiran a sur espectivos en html < y >
ejemplo:
asi si el atacante intenta ejecutar un codigo html o javascript no se ejecutará:
<?php echo filtro("<script>alert('te estoy atacando')</script>"); ?>
y nos devolverá: <script>alert('te estoy atacando')</script>
lesterfibla - 05/01/2010 06:02:56
Tienes un error ya sea en la función o en el ejemplo que diste. Por un tema de "buenas prácticas" en programación, prefiero pensar que el error está en la función.
Una función no debiese imprimir valores a pantalla. Solo debiese devolver un valor. En este caso, el
echo $final;
habría que cambiarlo por
return $final;
O si no, si se quiere dejar la función tal cual, en el ejemplo habría que eliminar el echo antes de llamar la función.