Hallo,

$sql = 'INSERT INTO blogentry
                        (inhalt)
                    VALUES
                        ("'.$_POST["inhalt"].'")
                    WHERE
                        titel = "'.$_POST["titel"].'"';

Hm, gibt es INSERT INTO ... WHERE ...? Füge einen Datensatz ein, aber nur wenn bei dem das Feld titel = "XSS" ist? Kommt Dir das logisch vor ;-)? Setzt Du nicht den Inhalt des Feldes titel beim Einfügen erst?

Meinst Du vielleicht UPDATE?

viele Grüße

Axel