Hello,

echo '<a href="' . $_SERVER["PHP_SELF"] . '?Aktion='Titel_suchen'">';

Falls diese Zeile nicht der Fehlersuche dient: Von außen kommende Daten vor der Ausgabe immer, immer, immer durch htmlspecialchars() oder htmlentities() jagen. Im Momemt ist es ein Leichtes, deiner Seite beliebigen HTML- oder Javascript-Code unterzujubeln, einfach durch Übergabe im Parametet Aktion.

echo '<a href="' . $_SERVER['SCRIPT_NAME'] . '?Aktion='Titel_suchen'">';

so wäre es besser, wenn man nicht Gefahr laufen will, dass z.B. Formulare später entführt werden können. Durch die Eigenschaft "Path Info" des Apachen kann man in $_SERVER['PHP_SELF'] etwas "unterjubeln"

Liebe Grüße

Tom

--
Coming Back soon