Hallo und guten Abend,

dieser Thread könnte sich tatsächlich noch ausweiten ;-)

Für das Auslesen dient eine PHP-Datei (auszugsweise):

foreach($_POST as $key=> $val) {
	$fmtResponse= str_replace("<$key>", $val, $fmtResponse);
}

Das sollte besser heißen:

    foreach($_POST as $key=> $val) 
    {
        $fmtResponse= str_replace("<$key>", htmlspecialchars($val, ENT_QUOTES), $fmtResponse);
    }

um XSS-Angriffe und ähnliche zu ersticken.

Wichtig für htmlspecialchars() ist dann, dass das Encoding im Script vorher gesetzt wurde, oder auch noch explizit in der Funktion angegeben wurde. Anderenfalls kann das Ergebnis auch leer bleiben. Das ergibt dann so einen "Ich-krieg-die-Kriese-Debugging-Fall", da die Kontrollausgaben dann meistens auch nicht funktionieren.

Grüße
TS