Moin!

Ich binde alle möglichen Parameter und auch die Überprüfung der Parameter als inlude("datei.inc") an erster Stelle der php-Datei ein.

In der Inc-Datei stehen dann folgende Abfragen:

$search = strip_tags($search);
$search = htmlentities($search);

Diese Anweisungen habe ich dem Forum hier entnommen.

Und trotzdem führt er folgendes Skript trotzdem aus:
http://www.av-test.org/rc2/index.php3?search="><script>alert("Hello");</script>

Kann mir jemand einen Tipp geben?!?

Frage: Warum steht der Übergebene Parameter ganz am Anfang des HTML-Quelltextes, und die eigentliche Seite beginnt erst danach?

Das kriege ich vom Server übermittelt:
Suche;: "><script>alert("Hello");</script>
<html>
....

Sieht stark danach aus, als ob entweder zu Beginn der Seite oder in der Include-Datei aus Debug-Gründen eine Ausgabe eingebaut wurde, die jetzt stört.

- Sven Rautenberg