Всем привет.

Есть на сайте пользовательская форма, в которую разрешается вводить ссылки.
Задача: защитить форму от ввода вредоносного кода, т.е. исключить в передаваемой строке параметры html, представляющие различные события.

Например, пусть мы имеем форму добавления комментария. Если пользователь введет в форму такое:
<a href="#" onclick="alert(1);">test</a>

То кликнув по этой ссылке в общем списке комментариев может быть запущен вредоносный код.
Соответственно, при обработке формы и записи данных в БД нужно исключить из строки:
onclick, onmouseover, onmouseout и подобные параметры.

Есть ли какая-то готовая функция, типа strip_tags() или нужно чистить ручками через preg_replace()?
Или может быть я не стой стороны захожу и есть более простое решение?

Дык кнопка тут сделана средствами JS, насколько я понимаю.
А это бесполезно, т.к. JS можно подменить/подсунуть и т.д.
Меня интересует именно серверная часть.