Gracias por contestar. Lo he probado, pero tambien me formatea todo el html (los usuarios escriben su pagina en html y php genera un archivo html, pero claro primero tiene que leerlo y en esa lectura es donde se "ejecutaria" el codigo maligno que un usuario pudiera haver incluido en el form).

Se puede permitir html pero negar php? Gracias.