Moin!

*Lol*, ein Blick in den Quelltext lüftet das Geheimnis. Ich werde wohl etwas umstrukturieren müssen.

hast also das <b> gesehen *g*

Grundsatz: Ausnahmslos ALLE Benutzereingaben müssen entweder durch einen regulären Ausdruck, den man auch nicht überlisten kann, auf böse HTML-Zeichen geprüft werden, damit sie entfernt werden, oder die Benutzereingaben werden durch htmlspecialchars() gejagt - danach sind dann alle potentiellen bösen Zeichen auch entschärft.

- Sven Rautenberg