nicht angemeldet
MudGuardHi,
> if(!empty($_POST['gesperrt'])) { $gesperrt = htmlspecialchars($_POST['gesperrt']); }
> if(!empty($_POST['notizen'])) { $notizen = htmlspecialchars($_POST['notizen']); }
Die Variablen $gesperrt und $notizen sind jetzt also für die Ausgabe in HTML-Code vorbereitet dank htmlspecialchars.
> $kundenUebersicht = kundenUebersicht($mysqli, $object->user_code, $object->user_type , $gesperrt, $notizen);
Das sieht erstmal (schon wegen $mysqli) nicht nach HTML-Ausgabe aus.
> function kundenUebersicht($mysqli, $UserCode=false, $UserRechte=false, $gesperrt=false, $notizen=false) {
[...]
> elseif ($gesperrt == '1') {
> $stmt = $mysqli->prepare($select . " WHERE
kd_status =?" );
> $stmt->bind_param("s", $gesperrt);
$gesperrt wird hier ja gar nicht für die HTML-Ausgabe verwendet. Was sollte das also mit dem htmspecialchars?
> elseif ($notizen == '1') {
> $stmt = $mysqli->prepare($select . " WHERE kd_notiz =?" );
> $stmt->bind_param("s", $notizen);
> }
Auch $notizen wird nicht für HTML-Ausgabe benutzt. Also auch hier unsinnigerweise mit htmlspecialchars verhunzt ...
cu,
Andreas a/k/a MudGuard
Matthias Apsel