Hellihello

Hi,

[...] von Vorteil bzw. in obigem ein Wurm drin?

Es sind mehrere mehrere Würmer drin:

1. Ohne "evil eval" geht es nicht wirklich, denn das nachgeladene Script wird sofort automatisch ausgeführt, und zwar mit eval. Das lässt sich nicht verhindern.

Auch wenn im json_out.php steht:

~~~php

$arr["name"]="KurtFriedrich!".time();
 $arr["gemeines"]=htmlentities("'::'".kkßüä'\\"");
 echo "person=".json_encode($arr);
 echo "alert(person.name)";
 echo "alert(person.gemeines)";

  
muss doch nicht ge-evalt werden sonden gibt doch direkt js-code zurück, in dem Fall das Objekt "person" mit zwei Eigenschaften (in Javascripts Object Notation) zurück (statt des alertes natürlich dann die einbindung in den Dokumentenbaum).  
  

>   
> 2. Es ist Zeitkritisch, denn man kann nicht ohne weiteres feststellen, wann das Script fertig ausgeführt ist.  
  
Bei o.g. Variante doch dann, wenn der Inhalt im Dokumentenbaum einghängt ist.  
  
Dank und Gruß,  
  
frankx