Hallo Rainer,

Damit meinst du, dein Server ist erledigt. Kann gut sein, denn hiermit reißt du Sicherheitslöcher noch und nöcher:
Nein, sicher nicht. $z[1] ist das Ergebnis der Abfrage aus der Datenbank (fetch_row)

das ist schon klar, aber gerade dadurch, dass du HTML-Fragmente anstatt puren Text in deiner DB hast, machst du es hier noch komplizierter. Wie stellst du sicher, dass da nichts drin ist, was die HTML-Ausgabe beim Browser stört?

$_GET["s"] kommt NICHT aus einer Nutzereingabe.

Woher denn sonst?? $_GET und $_POST kommen immer vom Nutzer und sind daher immer als potentiell gefährlich, zumindest aber "verseucht" zu betrachten.

Den Rest des Threads kann ich mir schenken.

Nein. Es ist typisch, dass Anfänger gutgemeinte Hinweise ignorieren oder für unangebracht halten, weil sie die Tragweite nicht überblicken können. Du tätest trotzdem gut daran, sie anzunehmen.

Wenn einer eine bessere Lösung gewusst hätte wäre es sinnvoll gewesen diese hier zu posten, aber so...

Die Lösung besteht im ersten Schritt darin, dein Datenmodell zu überarbeiten.

Ciao,
 Martin