Валидация textarea
 

Добрый день формучане, не подскажите как сделать валидацию поля textarea проблема следующая:
имеется поле textarea куда вводиться текст, имеется так же кнопка при нажатии которой введенный текст появляется на странице в теге <p>"Введенный текст"</p>

Нужна как то сделать валидацию, чтоб введенный текст не мог содержать разметку html или js, то есть, если я напишу текст в виде "<h1>HELLO</h1>" данная разметка не появлялась на странице, но при этом была бы возможность отправлять сообщения типа "Я заголовок определяю так: <h1> Заголовок </h1>"
т.е. он должен воспринимать не как тег html а как обычный текст, тоже касается и для js

как такое можно реализовать? спасибо!

Можно. Либо используете ВВ-теги, а "Я заголовок определяю так: <h1> Заголовок </h1>", так не пойдет.

Что касается запрещенного: скрипты, апплеты и т.п., то это должен проверять и принимать решение сервер.

а если без отправки на сервер? допустим все это на стороне клиента только, можно каким нибудь образом реализовать?

То есть по барабану - клиент проверил значит можно доверять? Ну тогда полный аут будет.
На клиенте все проверки, это чисто сервис, дабы предупредить, но ни в коем случае не доверять.

в моем случае я добавляю сообщение

$(" #message").append("<p>" + message + "</p>");

message может содержать html теги, но в результате добавиться должен все ввиде текста, пробовал обернуть все в виде textContent но это будет не правильно

мне бы для начало с клиентом разобраться, а потом уже буду насчет сервера думать.

Почему не правильно?
Как вариант:

var p = document.createElement('p');
message = p.textContent = message;
$(" #message").append("<p>" + message + "</p>");

Ещё можете сделать так:

message = message.replace(/&/gm,'&amp;').replace(/</g, '&lt;').replace(/>/g, '&gt;');

diga,

$("#message").append("<p>" + message.replace(/&/gm,'&amp;').replace(/</gm,'&lt;').replace(/>/gm,'&gt;') + "</p>");

Тогда не понятно. Если на клиенте вводится и можно посмотреть как это выглядит, зачем же удалять теги? А если через сервер и предпросмотр, то причем тут клиент?

Просто хочу сделать без bbcode и без возможности использования тегов в сообщениях.

то, что нужно, спасибо)

А к чему тогда пример с заголовком? Ели же речь запретить теги в сообщении, то ваш подход чреват такими граблями, что потом придется все выковыривать, ибо где хранятся сообщения - в базе.

да, зарпетить теги в сообщении, а что за проблемы могут возникнуть? у меня без проблем записалось в БД и без проблем считалось

< и &lt; - это не одно и тоже, а в базе возникает необходимость искать текст, а при приеме извне проверять его.

База без проблем может хранить любые "острые и колющиеся" предметы, а при выводе их обработать так, что они станут безопасными.

То есть, не подвергайте текст преобразованию пред помещением в базу без острой на то необходимостью. А при выводе обрабатывать и средствами языка сервера, их у него предостаточно.

Вопрос только был иной - пишет кто-то заголовок, который он может и просмотреть. А если просмотреть, то значит и сохранить, а запретить скрипты, то это далеко не заменить < и >.
Вы начало темы то своей перечитайте. Начали за здравие, а кончили за упокой. :)