[ihorko]

клиенту можно разрешать менять только четко определенное наполнение, и, по опыту и практике известно, для него достаточно возможностей:
жирный
курсив
подчеркнутый
список (нумерованный и маркерованный)
ссылка
ссылка на мыло
рисунок
Несложно заметить, что это базовые возможности редактора, которым мы постоянно постим сообщения на этом форуме. Вот и возьмите его, да и переделайте под свои нужды (убрать допустим возможность вставки пхп-кода и т.д. - клиенту это нафиг не надо). кроме того, поскольку такой редактор использует свою разметку (теги типа [XXX] ), это дает нам возможность написать парсер для таких тегов, и спокойно пропускать введенные данные через ПХП-функции, вырезающие ХТМЛ-теги - таким образом мы действительно ограничим клиента четко определенными функциями и обезопасим себя и систему, поскольку все, что не по правилам будет удаляться (напрмер функциями ПХП htmlspecialchars и strip_tags )...

вопросы?