Om nah hoo pez nyeetz, Sturmverliebt!

Was kann mir denn im schlimmsten Fall passieren wenn ich die „htmlspecialchars“ nicht nutze. Ich meine ich prüfe beim Eintragen der Daten bereits darauf dass nichts böses rein kommt, warum muss ich also bei der Ausgabe nochmals prüfen?

Wie prüfst du denn?

Was böses könnte sein, dass zum Beispiel JavaScript-Code an der Stelle ausgeführt wird.
Was weniger böses könnte sein, dass der Text ein „<“ enthält und der Browser das als Begrenzer eines Tags interpretiert und dein Dokument zerschossen wird, weil die Verschachtelung nicht mehr stimmt.

Matthias

--
Der Unterschied zwischen Java und JavaScript ist größer als der zwischen Post und Posten.