Hallo dedlfix,

In beiden allerdings fehlt die kontextgerechte Behandlung der Ausgabewerte. Oder meinst du, man könne sie hier weglassen, weil es keine Nutzereingaben sondern Datenbankausgaben sind?

wenn ich bei mir

echo '<p>Farbe: '  . htmlspecialchars($fghzh) ."</p>";

anwende, dann wird dieses

if ($record['p_farbe'] == "Blau, Rot, Gelb, Schwarz") {
    $fghzh= str_replace ("Blau, Rot, Gelb, Schwarz", "<img src=\"img/icons/farben/cmyk.jpg\" alt=\"Blau, Rot, Gelb, Schwarz\">", $record['p_farbe']);
}

besser gesagt dieses

<img src=\"img/icons/farben/cmyk.jpg\" alt=\"Blau, Rot, Gelb, Schwarz\">

genau so als HTML ausgegeben, was ja nicht Sinn der Sache ist, deshalb habe ich bei mir das "htmlspecialchars" weg gelassen.