habe d'ehre AllesMeins

autsch, ungeprüfte Werte vom Nutzer direkt in die Ausgabe schreiben?

Jetzt sollte man doch mal die Vorschlaege einfach nur Vorschlaege sein lassen.

Das man GET-Parameter nicht ungeprueft uebernimmt setze ich generell voraus. Jetzt hier noch eine vorgefertigte, komplette Validierung der Werte einzufordern finde ich ueberzogen. Es ging primaer nur darum, wie er mit PHP bestehende Formatierungen ueberschreiben koennte, dieser Weg wurde ihm gezeigt.

Ich konzidiere Dir, dass ein Hinweis auf die Problematik angebracht gewesen waere. Aber ich gehe in meiner Unbedarftheit davon aus, dass gewisse Sicherheitsgrundlagen bzgl. Parameteruebergabe per URL bei der Verwendung jedweder Programmiersprachen gegeben sein muessen.

man liest sich
Wilhelm