Hallo und erstmal Danke für deine Antwort,

nein, das ist keine Lücke. Da date und date2 immer nur automatisch festgelegte Werte vom Script zugewiesen bekommen und der Nutzer / Angreifer null Chance hat date oder date2 mit einem eigenem Wert zu belegen.

Stell dir das so vor, dass du eine Website in Form eines Kalenders hast und wenn ein Tag noch nicht belegt ist, entweder was reinschreiben kannst, womit dieser Tag dann belegt ist, oder einen der belegten Tage einfach löschen und damit freimachen kannst. Beides geschieht über eine <input type="hidden">, womit der date und date2 Wert festgelegt ist. Das einzige wo Benutzereingaben zustande kommen ist $_POST['name'], dass ich aber escape.

Zu meiner eigentlichen Frage: Ich habe jetzt mal an verschiedenen Stellen des Scripts mir var_dump($_SESSION); ausgeben lassen und konnte die Stelle jetzt auf 10 Zeilen einschränken .

elseif(isset($_POST['date2']) and isset($_POST['name']) and !empty($_POST['name'])) {  
	echo "test 1: ";  
	var_dump($_SESSION);  
	echo "<br><br>";  
	// Wenn ein neuer Eintrag geschrieben wird  
	$name = htmlentities($_POST['name'], ENT_QUOTES);  
	$date = $_POST['date2'];  
	$date = explode(";",$date);  
	$inputday =  $date[0];  
	$inputmonth = $date[1];  
	$inputyear = $date[2];  
  
	mysql_query("INSERT INTO calender (day,month,year,name) VALUES ('$inputday','$inputmonth','$inputyear','$name')");  
}  
  
echo "test 2: ";  
var_dump($_SESSION);  
echo "<br><br>";

Ausgabe:

test 1: array(1) { ["name"]=> &string(9) "User" }

test 2: array(1) { ["name"]=> &string(3) "Content" }