Hallo,

Es geht auch ohne Urlcodierung. Ich habe eine Funktion namens qss entdeckt, bei der bestimmte Zeichen entfernt werden.

  
preg_replace("/[^0-9a-z_.]/i", "", $data);  

$data war hier der request, der durch
$sort        = $_REQUEST['sort']        = qss($_REQUEST['sort']);
entsprechend ersetzt wurde. Nach Entfernung dieser Funktion arbeitet das Ganze nun auch ohne Url_encoding. Die Funktion habe ich in dem Teil gefunden, wo xss-Angriffe bearbeitet werden. Hat qss auch seine Bedeutung. Wenn ja welche?

gruß aus Senftenberg am See