Ho Gunnar,

ok, der "böse" Mensch geht auf meine Seite, hängt an der URL z.B ein bösen JavaScript code an und drückt enter. Aber dann wird doch der böse code bei ihm ausgeführt, sehe ich das richtig?
Ok, im wirklichen Leben habe ich schon eine abfrage was z.B das einfügen von fremden PHP code angeht, aber wirklich schlimm ist doch system(); und dinge die was aufm server anstellen können z.B dateien anlegen oder was auch immer.

Aber wie will ein böser denn meine Seite manipulieren das bei jedem aufruf egal von wem irgendwelchen code an der URL gehängt wird? Wie soll das gehen?