Moin!

Es ist also zwingend notwendig, dass man die Lücke nutzt, um die Unsicherheit des Gästebuches zu beweisen. Über die Form kann man sich dann natürlich streiten.
Mir geht es vor allem darum, dass dies nicht ohne Vorwarnung geschieht. Wer's nicht wissen will, der hat halt Pech gehabt. Er erfährt's dann eben vom bösgläubigen. Und ein bloßes Vorführen ohne Vorwarnung und Erläuterung halte ich weder für hilfreich noch für fair. ;)

Das Problem mit den Vorwarnungen ist: Wenn man den Quellcode des Gästebuches nicht hat, dann kann man auch nicht vorwarnen.

Dann gibt man ahnungslos, ob es funktioniert, ein testweises Skript ein, das vielleicht einfach nur ganz harmlos alert("Ähm...") macht - und erst _dann_ kann man warnen - aber eben nicht vor-, sondern nur nachwarnen.

Wenn man hingegen vorwarnt, macht man sich natürlich lächerlich, wenn man dann erkennt, dass das Gästebuch eingegebenen Text schön säuberlich in die Entities wandelt und so entschärft.

Mit anderen Worten: Vorwarnung ist nicht möglich, solange man nicht den Beweis hat, dass es überhaupt einen Grund zur Warnung gibt. Wenn man diesen Beweis hat, ist jede Warnung keine Vorwarnung mehr.

Deshalb kann man lediglich die Art der Verunstaltung kritisieren - andererseits: Welche Möglichkeiten hat man als Nutzer eines vorgefertigten Fremdgästebuches denn, auf die Abschaffung dieser Lücke hinzuwirken? Da ist es, wie im Beispiel geschehen, doch wirklich wirksamer, einfach den Anbieter zu wechseln, damit das sich nicht wiederholt.

Konkret: Wären die Links und Formulare zur Administration dieses Gästebuches nicht ausgeschaltet worden, wäre der entsprechende Eintrag vermutlich einfach gelöscht worden, ohne dass der Besitzer des Gästebuches die notwendigen Konsequenzen gezogen hätte. Löschen, sich sinnlos aufregen - und warten, bis der nächste Gästebuchterminator dann so richtig loslegt und per Skript tausend XXX-Seiten öffnet.

- Sven Rautenberg