Lieber devian,

Danke für deine Hilfe sie hat mir sehr geholfen.

freut mich. Hoffentlich hast Du auch verstanden, dass die Hinweise hier im Forum nicht immer die Lösungen selbst sind, sondern dass man hier Stichworte erhält, mit denen man dann weiter forscht, um dann eine Lösung zu finden.

Allerdings verstehe ich nicht, was du mir mit der Aussage daoben sagen willst. Ist mein Vorhaben ein Risiko, weil es eine Angrifsfläche für Hacker bietet?

Ich bezog mich auf folgende Aussage:

Und in dem php-script will ich die Variable, also den Inhalt des Textfeldes, mit $notizen=$_GET['notizen']; verwenden können.

Wenn Du so einfach den Inhalt von $_GET in die DB schreibst, dann ist das Problematisch. Dazu braucht es auch eine kontext-gerechte Kodierung (Achtung! wieder so ein Stichwort). In einer DB-Anfrage oder -Abfrage gibt es auch bestimmte Steuerzeichen, die natürlich entsprechend interpretiert würden, wenn Du die Eingaben unmaskiert in der DB abgelegt hast.

Man spricht bei solchen Sachen davon, dass Daten in einen anderen Kontext übergehen, was eine entsprechende "Behandlung" (sprich Umkodierung) der Daten erfordert. Stelle Dir nur einmal vor, ein User tippt in ein Gästebuch folgende "Nachricht":

<script type="text/javascript">window.open('http://www.example.org/gefährliche/inhalte.html');</script>

Und jetzt stelle Dir vor, dieses Beispiel von mir hier würde von Deinem Browser nicht dargestellt, sondern interpretiert werden... wie gut, dass die hiesige Forensoftware das obige Code-Beispiel im Kontext "HTML" entsprechend kodiert, sodass aus "<script..." eben "&lt;script..." wird. Im übertragenen Sinne gilt dasselbe für Deine DB-Einträge.

Liebe Grüße,

Felix Riesterer.