hi tami,

hi Sven,

Moin!

<?php ### buecher.js.php ###
    header('Content-Type: Text/Javascript; Charset=utf-8');
    session_start();
    echo 'var buecher = new Array("' . implode('","', $_SESSION['buecher']) .'");' . PHP_EOL;
?>

In dem Code ist keinerlei kontextgerechtes Escaping drin! Er ist gefährlich! Bitte nicht benutzen!

Wäre denn json_encode ausreichend?

"

<?php

$arr = array('a' => 1, 'b' => 2, 'c' => 3, 'd' => 4, 'e' => 5);

echo json_encode($arr);
?>

>   
> The above example will output:  
>   
> {"a":1,"b":2,"c":3,"d":4,"e":5}  
>   
> [http://php.net/manual/en/function.json-encode.php](http://php.net/manual/en/function.json-encode.php).  
>   
> Ggfs. auch: [http://stackoverflow.com/questions/12062146/is-json-encode-sufficient-xss-protection](http://stackoverflow.com/questions/12062146/is-json-encode-sufficient-xss-protection).  
  
Und <http://framework.zend.com/manual/2.1/en/modules/zend.escaper.escaping-javascript.html>  
  
mfg  
  
tami