check_plain wandelt <p> und <strong> in Sonderzeichen um - Sind die Eingaben nicht in UTF8?

1. Macht check_plain denn nicht genau das, was es machen soll? HTML-Elemente werden eben entsprechend umgewandelt.
2. Was soll den bitte klappen? Willst du <p> und <strong> ausfiltern? Warum machst du das nicht per string_tags, wie du bereits in deinem anderen Thread herausgefunden hast?

Oh, sorry, Du hast recht, ich glaube, ich hab das was übersehen.

Ich glaub, das ist schon alles okay so, war ein Denkfehler von mir.

Aber noch dazu folgendes:
Ich überlege gerade, wie ich die Sicherheit erhöhen kann und wollte wissen, was man alles beachten muss, wenn man in vielen tpl.php-Dateien programmiert (CCK-Felder ausgeben, Template umgestalten, usw) und teilweise auch direkt in Nodes PHP-Code eingibt.

Dabei ist mir check_plain eingefallen und wollte es gleich anwenden, aber anscheinend am falschen Platz.
Also alle Text-Eingaben, die reiner Text sein sollen, kann man mit check_plain absichern. Ist das nun sicher?

Und Artikeltext-Eingaben mit Richtext-Editor kann man dann ev. mit strip_tags absichern oder ev. mit dem Modul WYSIWYG-Filter (hat nicht auf Anhieb geklappt, daher dzt. nicht in Verwendung).

Aber was sollte man, wenn es um die Sicherheit geht, bei der Programmierung in tpl-Dateien außer oben genanntem noch beachten?

Der Textkörper aka body hat schon seine Variable in der node.tpl. Und CCK-Felder haben auch ein bereits gereinigten Wert im Node-Object. Und für Eingaben die HTML enthalten dürfen, verwendet man http://api.drupal.org/api/function/check_markup/6.