Hallo :)

Grüße,

Aber das stört den Graumelierten nicht, er macht da trotzdem Javascript rein.

es wäre vielleicht noch interessant zu sehen, was denn in der Datenbank(?) landete, aber ergänze es mal um htmlentities() - das dürfte vieles verhindern, doer?

htmlentities() habe ich neben strip-tags schon an anderer Stelle auch verwendet.

Ich benutze nicht mysql, sondern eine einfache Textdatei als Datenbank.
Ja, was in der Datenbank gelandet ist, zeige ich Dir gerne mal:

So sieht der php Code aus:

else {

$daten="<fieldset><legend>".$_POST['name']."</legend><div id='dz'>$datum</div><br><br>".$_POST['eintrag']."<br><br><a href=".$_POST['homepage']."><div class='legend'>".$_POST['homepage']."</div></a><a href=mailto:".($_POST['email'])."><div class='legend'>".$_POST['email']=str_replace("@","~at~",$_POST['email'])."</div></a></fieldset> \n";

$datei = fopen(("daten.txt"),"a");

// fremden Code verhindern

$_POST['name'] = strip_tags($_POST['name']);
      $_POST['email'] = strip_tags($_POST['email']);
      $_POST['homepage'] = strip_tags($_POST['homepage']);
      $_POST['eintrag'] = strip_tags($_POST['eintrag']);

fwrite($datei, $daten);

So sieht der Eintrag aus:

Also hier kommt der Meister des HTML:<br><a href="javascript:alert('bätsch');">Friede Freude Eierkuchen</a>.<br><br><a href=><div class='legend'></div></a><div class='legend'></div></fieldset>

In die letzten beiden Divs kämen der Homepagelink sowie die Emailangabe.

mfg
cygnus