Hallo,

Mal eine allgemeine Verständnis-Frage:

Ist der nachfolgende Code sicher - abgesehen von einer fehlenden Prüfung auf Länge des im Feld eingegebenen Textes? Wenn nein, wie würde ein Angreifer hier vorgehen? Und wie müsste man es richtig machen?

Hallo,

$inhalt = stripslashes($_POST['textfeld']);

sieht nach magic quotes aus. Schreib dir für das Entfernen der Slashes eine Funktion die du später auslagern kannst. Da jagst du dann erstmal alles was per POST oder GET kommt durch. So kommst du nicht durcheinander und brauchst später nicht mehr dran denken ob nun noch Slashes da sind oder nicht mehr.

<textarea name="textfeld" rows="10" cols="50"><?php echo $inhalt ?></textarea>

<?PHP echo htmlspecialchars($inhalt); ?> wäre hier richtig.

Ob dein Code dann sicher ist, kann ich nicht beurteilen,.
Ich arbeite so gut wie nie mit Dateien ;)

Grüße, Matze