Hallo Paul,

alert('<?=$_GET['a'];');

Das sieht höchst verdächtig aus. Irgendwas stimmt da mit den Anführungszeichen nicht.

eval ist auch nicht zu empfehlen, erzeugt einen riesen Overhead und führt gnadenlos jeden Code (auch schädlichen) aus, der ihm z.B. von einem bösen Proxy im Web untergeschoben werden könnte...

Gruß, Don P