hi,

Ich hab das versucht, was du mir gesagt hast und „<script type="text/JavaScript">onload=alert('Nachricht')</script>“ ins textfeld kopiert und das Formular abgeschickt.

Mache erstmal die von frankx angesprochenen Testausgaben, die Kontextspezifische Behandlung der Daten ist mit eine der wichtigsten voraussetzungen, um Sauber zu programmieren.

Doch es kam nur dieser Fehler

"Fehler bei der SQL Abfrage:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1"

Das ist auch wieder ein Fall für Kontextspezifische Behandlung der Daten, nur ist es in diesem Fall ein SQL-Kontext.
Wann immer du Variable Daten in die Datenbank schreiben möchtest, musst du diese Escapen (ohne hin und her zu kopieren).

"INSERT INTO  
    Feld (content)  
VALUES  
    ('" . mysql_real_escape_string($_POST['textfeld']) . "')";

Ich kann mir aber vorstellen, dass etwas passieren sollte und man sowas durch überprüfung der Eingabe verhindern kann.

Nicht durch Überprüfung, sondern durch die korrekte Behandlung der Daten, eben in welchem Kontext du dich gerade befindest.

mfg