Liebe Nathi,

wie Auge weiter unten schon schrieb: Eingegebene Daten müssen ihrem Kontext nach maskiert werden. Immer dann, wenn Daten aus $_POST wieder an den Browser zurück gegeben werden sollen, müssen sie ihrem Kontext entsprechend (und das ist hier HTML) maskiert werden.

Da in meinem Script-Beispiel der Inhalt von $_POST in die Variablen $test übernommen werden soll, um dann später als HTML-Code ausgegeben zu werden (genauer: als Inhalt eines value-Attributs), muss hier an dieser Stelle
$test = htmlspecialchars($irgendwas);
stehen. Nur hier. Vorher wird ja nur darauf geprüft, ob ein gewisser Index in $_POST ünberhaupt vorhanden, und wenn, ob er leer oder gefüllt ist, geprüft. Da muss deshalb nix umgewandelt werden.

Liebe Grüße,

Felix Riesterer.