Hallo dedifix !

Du hast natuerlich voellig recht mit dem Hinweis, dass die Query-Strings geprueft werden sollten.

Eines ist mir aber konzeptionell unklar, das hiermit korreliert:

» zu ungewünschten HTML- und clientseitigem Script-Code führen.

Koennte ein Client, wenn ihm ein Server irgendeinen "schmutzigen" Query-String zureuckschreibt ( einfaches "print" - natuerlich kein "eval" - das ist klar ), mehr Schaeden anrichten als wuede er sich das JS/PHP einfach in eine lokale Datei schreiben und ausfuehren ?

Evtl weil das Ganze ggf. innerhalb einer PHP-Sitzung erfolgt ?

Gruss

Holger