No6です。 ＞初心者が知らないだけで、実は簡単な方法があるのでは、と心配していました。 そうですね。正規表現とかで簡便にやろうとすると必ず穴が残りそうです。 安全にやるには、HTMLを解析するライブラリ（ http://www.php.net/manual/ja/refs.xml.php ) を使うのが良いかと。「PHP HTML解析」で検索するとサンプルとか見つかると思います。 タグを順番に見てって、使ってよい物だけ判断。 「これとこれはだめ。他はよい」というブラックリスト方式じゃ無くて、「これとこれだけはよい。他は全部だめ」という方式にしましょう。 タグ名だけじゃ無くて属性名にもおなじく、「このタグの場合は、これとこれの属性だけはよい。他は全部だめ」と。

＞一応、「dec(h($value))」のように、入れ子にすると 無意味ですね。 dec(h($value))は$valueを何も処理せずに、表示させたのとまったく同じです。 無駄に処理して、レスポンスを遅くしている分タチが悪い。 質問を読んでみると、何がしたいのかってのが、固まってないように思えますね。 ユーザーに入力欄(textarea?)を提供して、取得したデータをDBに格納、そしてそれを表示させたいってのは判ります。 その際の仕様として、<br />等のHTMLタグを入力していた場合、表示の際には反映させたいという事なのでしょうが。 その場合には問題があって、 『<script>～</script>』 あるいは 『<form action="別のサイト">～</form>』 などが入力されるなど、いわゆるクロスサイトスクリプティング(XSS)と呼ばれる攻撃の標的になる可能性があります。 これが、「表示時点で入力された改行を反映させたい」というだけなら、nl2brというPHP関数が使えます。 たとえば<font color=#FFFFFF>ホゲホゲ</font> というタグも【安全に】使いたい、というならそれなりに複雑に構文解析する関数を自作しなければなりません。 (というか、結構あちこちで転がってますが) とりあえず、XSS対策として入力されたタグはすべてhtmlエンティティに変換する、表示の際にnl2brで改行コードだけは<br />に変換して改行させる、という仕様をお奨めします。

もし文意が、 独自のタグ<jpSampleTag=lnum1>だけをこの見た目の通りにブラウザに表示したい、 ということであれば、 独自のタグ<jpSampleTag=lnum1>だけhtmlspecialchars()を通してからブラウザ出力するようにすれば良いかと思います

ANo.2です ANo.1さんの回答を読んで、やっと「やりたいこと」が分かってきました（汗）。いわゆるBBコードみたいなものを想定しているということでいいんでしょうかね。 であれば、ANo.1さんが書かれたように「<>」でなく（一般的なBBコードが採用しているように）「[]」などを使うべきです。 ・http://ja.wikipedia.org/wiki/BB%E3%82%B3%E3%83%BC%E3%83%89

DBに格納する段階でhtmlspecialcharsを通す必要はありません。mysql_real_escape_stringを通せばいいです。 htmlspecialcharsはその内容を「htmlソースの中に」表示させるなど、あくまでもhtml内に表示するときに通すものです。なので（htmlソースとして作成したものを保存・表示するケースなど）ブラウザに「htmlとして処理してもらいたい」ケースでは使いません。 が、そもそも「フォームから受け取った文字列」を、そのままhtmlとして扱わせるのは如何なものでしょう。管理画面などから（じゅうぶんな認証を通してから）POSTされるのですかね？そうでないと相当に危ないことになりそうですが・・・

独自タグに「<>」を使うのをやめるのがベストです。