Hellihello Manuel B.

Steht ja nirgends, das ich da nur ein Bild angeben darf. Stell dir mal vor, ich übergeb folgenden Code (natürlich URL-Encoded):

?no="><script src="schadcode.js"></script><img src="1.

Dann ergibt das im Browser folgendes:

img src="bild"><script src="schadcode.js"></script><img src="1.jpg" alt="Bild">

Cross-Site Scripting ist was feines ;)

Das unterbinde ich dann u.a. mit:

  
$Bildname=$_GET["Bildname"];  
if (!file_exists("Bildornder/".$Bildname) {  
   $Bildname="Eingangsbild.jpg"  
}  
...  
  
<img src="<?php echo $Bildname;?>">  
  

Dank und Gruß,

frankx