auf jeden Fall noch $temp = str_replace("\n", "", $temp);

Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt?

Also bei meinem Test wird:
von deiner Funktion nicht verändert. Und die Eingabe könnte ich deinem Script ohne weiteres per POST schicken...

Aber das ist kein \n-Zeilenumbruch. Für deinen Fall brauche ich ja noch was.

Mit meiner Zeile wird der Zeilenumbruch der Eingabe aber entfernt

OK, überredet. Wird nachher eingebaut.

Was kann man sonst noch an der Funktion verbessern?

Du irrst. Denn "\n" Ist ja nur eine Schreibweise. Intern kommt da kein "\" vor. Das ist als würdest du mit Delphi einen Zeilenumbruch entfernen wollen in dem du alle "#" durch nichts ersetzt. Da ist auch nicht das Ergebnis das dann Anstelle des Zeilenumbruchs 13 und 10 als Zahlen im Text stehen.

Und was macht dein Script, wenn ich "\\n" eingebe? Richtig, es wandelt mir brav das ganze in "\n" um. Da bedank ich mich als Angreifer doch...

Man sollte generell vorsichtig sein, mit Hilfe von str_replace oder preg_replace Formularwerte/Parameter abzusichern. Z.B. könnte man auf die Idee kommen, bei einer Pfadangabe aus Sicherheitsgründen ganz naiv ".." durch "" zu ersetzen. Allerdings übersieht man dabei leicht, was passiert, wenn der Angreifer "...." übergibt. Es gibt viele Sicherheitslücken solcher Art, und nicht alle sind auf den ersten Blick so offensichtlich.