Sem Html No Formulario

[impossivel]

Olá, tenho um formulario para o visitante enviar um artigo, porem se ele inserir codigos html pode dar erro na tabela, pode inserir frame, codigos para iniciar ou terminar tabela, enfim, poderia desconfigurar o layout do site na hora da exibição do artigo, estou usando o seguinte

$sqli = " INSERT INTO

$tabela

(

data, hora, nome, categoria, titulo, artigo

)

VALUES

(

now(), now(),

'" . addslashes($HTTP_POST_VARS["nome"]) . "',

'" . addslashes($HTTP_POST_VARS["categoria"]) . "',

'" . ucfirst($HTTP_POST_VARS["titulo"]) . "',

'" . nl2br($HTTP_POST_VARS["artigo"]) . "'

)

";

o campo "ARTIGO" postado pelo formulario usa NL2BR para inserir as quebra de linhas, mas como faço para permitir somente texto, numeros e pontuação, nada de HTML. e tem que ser inserido no banco de dados já formatado, como devo proceder?

[Joilson Junior]

Ola colega bom primeiro seria interesante você trocar essas variaveis $HTTP_POST_VARS por $_POST[ e você pode utiliza uma função chamada anti injection.

function anti_injection($sql)

{

// remove palavras que contenham sintaxe sql

$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables||#||-|\*|--|\\\\)/"),"",$sql);

$sql = strip_tags($sql);//tira tags html e php

$sql = addslashes($sql);//Adiciona barras invertidas a uma string

return $sql;

}

beleza colega utilize a função assim: anti_injection($_POST["nome])