@@Steffen:

nuqneH

Was meinst du, warum Tom ausgerechnet die dafür geeignete Funktion htmlspecialchars() verlinkt hat? Die codiert genau die Zeichen um, für die das in HTML notwendig ist, also '<', '>', '&' und '"', .....

... aber doch auch die Umlaute, um die es mir in diesem Thread ging.

Lesen ist nicht deine Stärke, oder?

Ich weiß jetzt nicht, was Tom meinte, was ich in meinem Beispiel umcodieren sollte?

Dass hinter jedes echo ein htmlspecialchars() gehört.

Das Beispiel funktioniert doch jetzt ohne eine Umcodierung.

In deinem Beispiel liegen die Werte von $string und $key in der Kontrolle deines Scripts, ja.

Das ändert sich schlagartig, sobald du Nutzereingaben verarbeitest, die per se als böse anzusehen sind.

Qapla'