Cita:
Iniciado por BaEEz_ 
Ok si no quieres eliminar los tags maliciosos puedes convertirlos a su entidad HTML, es decir primero los almacenas en BD con su ENTIDAD HTML equivalente, asi cuando lo imprimas no va salir una ALERTA que diga HOLA
Si imprimo el texto sin decodificar las entidades HTML, el código aparece de la siguiente manera...
<p>Hola</p> <script>alert();</script> <u>buenos dias</u>
No salta el javascript pero no se interpreta el HTML. es necesario aplicar la función html_decode_tags() y entonces se ejecuta el alert().
De todas formas, no se porque pero cuando recibo el texto ( POST ) del editor WYSIWYG para insertarlo en la DDBB, si he formateado el texto del editor con los botones disponibles el texto lo recibo con etiquetas ( <u>hola</u>... ) y si he escrito texto directamente ( <u>pepe</u> ) lo recibo como entidades ( <u>pepe</> ). Esto lo hace el editor por seguridad????