hi,

Dies wird in die Verabreitungsdatei übertragen, dort u.a. "gesäubert" und anschließend an die Sendedatei weiterverschickt

$artikel = htmlspecialchars($_POST['artikel']);

echo "<input type="hidden" name="artikel" value="$artikel" />\n";

hier stehen jetzt also beispielsweise " (muss ja auch) und auch < und > kodiert im _quelltext_ - &quot;, &lt; und &gt;

wenn du statt dem hidden mal ein text-feld genommen hättest, wäre dir aber aufgefallen, dass das natürlich wieder als ", < und > _angezeigt_ wird.

und genau so _überträgt_ der browser die daten beim absenden dieses formulars natürlich auch wieder - ", < und >

In der Sendedatei werden die Daten in die Datenbank geschrieben:

VALUE '".$_POST['artikel']."')";

da ", < und > übertragen wurden - _unkodiert_ - musst du hier natürlich noch mal erneut kodieren, wenn du &quot;, &lt; und &gt; in der DB stehen haben willst.

gruß,
wahsaga