@@Hora:

nuqneH

ich habe das mit dem htmlspecialchars nicht so ganz verstanden. Dieser wandelt Sonderzeichen in HTML-Codes um, also " wird zu ENT_QUOTES.

Vor allem wird '<' zu '<'.

Das ist wichtig, denn wenn $_POST["vorname"] den Wert '<script>[code lang=javascript]alert(42);</script>[/code]' hat, würde
echo ("Sie wurden als Teilnehmer $teilnehmer registriert.");
in den HTML-Quelltext schreiben:

Sie wurden als Teilnehmer <script>[code lang=javascript]alert(42);</script> registriert.[/code]

und der JavaScript-Code ausgeführt werden. Dieser kann weitaus bösere Sachen tun als die Antwort auf die Frage nach dem Sinn des Lebens auszugeben.

echo ("Sie wurden als Teilnehmer" . htmlspecialchars($teilnehmer) . "registriert.");
schreibt in dem Fall in den HTML-Quelltext:

Sie wurden als Teilnehmer <script>alert(42);</script> registriert.

Keine <script>-Tags, keine Gefahr.

Das mit den Sicherheitslöchern ist mir eigentlich momentan egal.

Falsche Einstellung! Es darf dir nicht egal sein! Das ist das Erste, was man bei PHP lernen muss. Ansonsten sollte man die Finger von PHP lassen, weil man mehr Schaden als Nutzen anrichtet.

Qapla'