@@tami:

nuqneH

if(isset($_POST["name"]) && !empty($_POST["name"]))  {
                $name = htmlspecialchars($_POST["name"]);

htmlspecialchars() hier?

IMHO nicht. Wenn das mal erweitert werden soll, dass Nutzer in einer DB abgelegt werden, landen dort unsinnige Daten.

Das Escapen von HTML-Sonderzeichen muss genau dann erfolgen, wenn Daten in den HTML-Kontext gebracht werden:

<p>Hallo : <?php [code lang=php]echo $benutzer->getName()?></p>[/code]

Hier ist es angebracht:

<p>Hallo : <?php [code lang=php]echo htmlspecialchars($benutzer->getName()); ?></p>[/code]

Qapla'