Hi,

foreach ($_POST as $key => $value){

$_POST[$key] = htmlspecialchars($value, ENT_QUOTES);
}
foreach ($_GET as $key => $value){
  $_GET[$key] = htmlspecialchars($value, ENT_QUOTES);
}

>   
> Wird bei jedem Seitenaufruf als erstes aufgerufen.  
> Gibt es etwas gravierendes an dieser Vorgehenweise auszusetzen?  
  
ja, einiges. Es lässt sich aber auf einen Nenner zusammenfassen: Unüberlegt.  
Du gehst einfach über alle Eingabewerte und bereitest sie für eine Ausgabe als HTML auf, ohne zu überlegen, was \*wirklich\* damit passieren soll. Der Artikel über [Kontextwechsel](http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel) könnte eine wertvolle Lektüre für dich sein.  
  
Faustregel: Daten werden \*dort\* maskiert oder codiert, wo sie in einen anderen Kontext gebracht werden, und dann spezifisch für \*diesen\* Zielkontext.  
  
Ciao,  
 Martin  

-- 
"Hier steht, deutsche Wissenschaftler hätten es im Experiment geschafft, die Lichtgeschwindigkeit auf wenige Zentimeter pro Sekunde zu verringern." - "Toll. Steht da auch, wie sie es gemacht haben?" - "Sie haben den Lichtstrahl durch eine Behörde geleitet."  
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(