Hallo,

Die PHP-Scripte können zumindest nicht "einfach" aufgerufen werden, es ist immerhin ein Login und eine gültige Session nötig.

Sobald sich aber jemand eingeloggt hat, kann er das PHP-Formular aufrufen und diesem _beliebige_ Werte übergeben. Du musst also _immer_ überprüfen, ob die Werte, die das PHP-Script erhält in dem Kontext, in dem sie später verwendet werden keine Schäden bewirken können. Wenn du bestimmte Voraussetzunge, z.B. dass bestimmte Felder ausgefüllt sein müssen, erfüllt haben willst, musst du auch das überprüfen.

Ja, ich weis schon das ich die Sonderzeichen (<>") ersetzen muss, aber evtl. ist das in anderen Techniken nicht nötig ... Denn bei Formularen mit bis zu 1000 Eingabefeldern ist das auch ein Zeitfaktor.

Für die Ersetzung gibt es doch so praktische Funktionen wie htmlspecialchars(). Aber 1000 Eingabefelder hört sich für mich nach einem etwas verqueren Konzept an, wer soll denn diese Monsterfomulare ausfüllen?

Naja, mal abgesehen davon, was gäbe es an Alternativen für HTML-<form>s.

XForms ;-)
Die praktische Einsetzbarkeit dieser Technologie im Web liegt aber im Moment noch nahezu bei null und es würde auch an dem Problem, vom dem du ausgehst, nichts ändern.

Schöne Grüße,

Johannes