Tach!
Merke: Wann immer
echo
und$_GET
/$_POST
zusammenstehen, solltehtmlspecialchars()
nicht weit sein.
Nein, das ist zu kurz gedacht. Das Problem beschränkt sich nicht nur auf die direkten Eingabewerte. Es betrifft stattdessen alle Ausgaben, egal aus welcher Quelle sie stammen und auf welchem Wege sie dorthin gelangt sind.
dedlfix.