Evet string veri girişi yapılan yerlerde muhakkak html kodları yok edici bir fonksiyon kullanmalıyız.
Aksi halde saldırı alabiliriz.
Arkadaşında dediği gibi strip_tags ın ek özelliklerini kullanarak, kullanılmasını istemediğin
html kodları yok edebilirsin.