Hi!

2. Parameter in Inputfeld einsetzen: <INPUT VALUE="<? echo $_GET['agency']; ?>" NAME="agency">
   Programmierfehler. Kontextwechsel beachten!
   Du hast ja Recht. Aber nutzt einem Neuling jetzt die Grundsatzdiskussion, wo er ein Erfolgserlebnis braucht?

Ja. Was nützt ihm das Erfolgserlebnis, wenn sein Kartenhaus kurz darauf zusammenfällt. Und ein htmlspecialchars() ist ja nun nicht zu viel verlangt.

$string = stripslashes($string);                 // kann von GET, POST, COOKIE kommen

Das kann nur dann kommen, wenn die Magic Quotes immer noch eingeschaltet sind, obwohl das ein Feature von der Abschussliste ist. Es empfihlt sich nicht, sie unbedingt zu entfernen. Wenn man mit ihnen Probleme hat, sollte man sie generell entfernen.

und erweitere die Diskussion auf den Zeichencode. Was ist, wenn chinesisch reinkommt?

Chinesisch ist kein "Zeichencode". Außerdem stellt die Zeichencodierung im Hinblick auf HTML-Injection bei den hierzulande üblichen Verarbeitungen nach ISO-8859-beliebig und UTF-8 kein Problem dar. Alle zu behandelnden Zeichen haben eineindeutige Bytewerte.

Lo!