@@Gunnar Bittersmann:

nuqneH

Was sollste so gehen? Schadcode in die Seite einzufügen? Ja, und ob das geht!

… einfach durch Eingabe von "</textarea><script>alert(1)</script>" (ohne die Qoutes)

Merke: NIEMALS Nutzereingaben unbearbeitet wieder ausgeben!!

… sondern z.B. die HTML-Tags entfernen:

echo '<p>Ihre Auswahl ist:<br> ' . strip_tags($_POST['Bestellung']) . '</p>';

Qapla'