Hello,

Die Ausgabe des Strings auf die HTML-Ausgabe kann aber bestenfalls Irritationen beim Browser verursachen, wenn Du nicht das htmlspecialchars() benutzt.

Bei php-Code wird es wohl so sein, anderes kann aber schlimmere Folgen haben, auch wenn die ohne Speicherung nur den betreffen, der die Daten geschickt hat. Hm oder jemanden, der sich danach an das Browserfenster setzt.

Das ist dann aber die Client-Seite.

Dem OP ging es, so habe ich das gedeutet, um die Angreifbarkeit des Servers.

Und da kann ich nur immer wiederholen, die größte Lücke stellen immer noch Uploadscripts dar. Die zweitgrößte steckt dann in nicht abgesicherten Datenbankabfragen, bei denen einfach Requestparameter in die Abfrage eingebunden werden. Darum ja das Escapen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg