Filtrage de certaines balises HTML, meilleure détection de la validité XML. Plusieurs choses en une, toute tournant autour d'un meilleur traitement du commentaire soumis: - on utilise désormais stripslashes pour correctement gérer la valeur d'éventuels arguments - on filtre, via le DOM, les balises qui pourraient s'avérer peut sure, ou être utilisé pour une attaque de type cross-site scripting. L'utilisation de getElementsByTagName devrait se charger d'attaque du type <html:script /> ou l'utilisateur utilise un namespace non standard pour déjouer une comparaison de chaînes.

<?xml version='1.0' encoding='UTF-8'?>
<div xmlns='http://www.w3.org/1999/xhtml'
     xmlns:tr='http://defr.net/2007/template'
     class='cal'>
     <a tr:id='calPrev' class='calPrev' />
     <a tr:id='calNext' class='calNext' />
     <tr:currentMonth />
</div>