Hi,

Der Angreifer kann einfach [ue]a in das Loginfeld eintragen oder er spart sich den Mist gleich und sendet einfach den String an das Loginskript.

[ue]a? Verstehe ich nicht, helf mir bitte mal auf die Sprünge.