Buenas tardes,

estoy haciendo un gestor de correo que a través de IMAP puede sincronizar con gmail, hotmail, u otros servidores de correo que acepten el protocolo IMAP.

Recupero el correo y lo muestro con un echo; el problema está en el contenido del correo...Puede ser inseguiro, pero debo permitir HTML, así que las funciones strip_tags o htmlentities no sirven.

¿Como puedo evitar por ejemplo que un mail con este código funcione?

<p onclick="alert('hola');">HOLA</p>

Debería mostrarlo como si fuera
<p>HOLA</p>