Hi,

<input type="hidden" name="UserID" value="<?php echo $_GET['UserID']; ?>">

Dieses Problem ist nicht komisch, aber gefährlich, da über den URL-Parameter jeder beliebige (HTML- oder Javascript-) Code eingeschleust werden kann. Kennst du noch nicht die Funktion htmlspecialchars?

danke für den Hinweis ich habe jedoch in das Script noch eine Abfrage eingebaut die die sessionid überprüft und darüber den aktuellen Userstatus einliest. Es sollte also kein Unbefugter hierüber an Daten kommen.

Du hast den Einwand vermutlich nicht verstanden.

Es ist bei deinem Vorgehen moeglich, ueber manipulierte URL-Parameter - die man bspw. in Foren posten oder per Mail verschicken koennte - HTML-/Javascript-Code in deine Seite einzubauen. Wenn einer deiner Nutzer so einen Link benutzt, um die Seite aufzurufen, koennten ihm damit bspw. seine Cookies von deiner Seite "gestohlen" werden.

MfG ChrisB