nicht angemeldet
Hi Dennis,
Allerdings kümmerst du dich überhaupt nicht um Cross-Site Scripting, würde jemand HTML-Code eingeben, würdest du diesen später in der Datenbank haben mit dem von dir gewünschten <br />. Deshalb solltest du htmlentities() bzw. htmlspecialchars() verwenden:
$entschaerft = nl2br(htmlentities($_POST['wunsch']));Und das schreibst du dann (nach weiterem Escapen gegen SQL-Injektionen, s.o.) in die Datenbank - das würde funktionieren.
Ich such schon die ganze Nacht nach einer möglichkeit, das zu tun was du hier vorschlägst,
hab schon recht viel gefunden aber kann es nicht auf mein Script anpassen, kannst du mir helfen?
<?php
$interpret = $_POST['interpret'];
$album = $_POST["album"];
$datum = $_POST["datum"];
$songtext = $_POST['songtext'];
$fehler = false;
$fehlertext = "Folgende Felder sind leer:<br />";
if(empty($interpret)){
$fehler = true;
$fehlertext .= "Interpret<br />";
}
if(empty($album)){
$fehler = true;
$fehlertext .= "Album<br />";
}
if(empty($datum)){
$fehler = true;
$fehlertext .= "Datum<br />";
}
if(empty($songtext)){
$fehler = true;
$fehlertext .= "Songtext<br />";
}
if($fehler == true) {
echo "<p>".$fehlertext."</p>";
}
else {
echo "<p>Das Formular wurde versendet.</p> ";
$eintrag = "INSERT INTO songtexte (interpret, album, datum, songtext)
VALUES ( '$interpret', '$album', '$datum', '$songtext')";
$eintragen = mysql_query($eintrag);
}
?>
Egal was ich mach, <> krieg ich einfach nicht maskiert.
Grüße,
Engin
GYRO
Auge
Struppi