danke josh,

ich habe von dieser Sicherheitslücke noch nicht gehört, werde aber in Zukunft darauf achten, und die eingabe von $was so umändern:

$was=htmlspecialchars($_GET['was']);

hoffe, dass stimmt so.