Hallo,

htmlspecialchars($_POST);

Das schützt eigentlich nur vor funktionierendem Code, denn htmlspecialchars akzeptiert kein Array, sondern nur einen String als ersten Parameter.

Dann konvertiert PHP automatisch und erhält in diesem Fall vermutlich den String "Array". Aber solange man das Ergebnis von htmlspecialchars() sowieso nicht verwendet, sondern einfach fallen lässt, ist es komplett wirkungslos.

Einen schönen Tag noch
 Martin