@@Linuchs:

nuqneH

Sorry, in der Datenbank war das Leerzeichen (per Eingabeprogramm) als %20 drin, habe ich mit phpmyadmin wieder auf Leerzeichen gesetzt.

Ja, das waren kaputte Daten. In der DB sollte "http://shantychor-bad-zwischenahn.de/Unsere CD's/10-an-de-eck.mp3" stehen (oder "http://shantychor-bad-zwischenahn.de/Unsere%20CD%27s/10-an-de-eck.mp3"), aber nicht %20 und ' gemischt.

Klarer Fall: Kontextwechsel nicht beachtet. Zur Ausgabe in den HTML-Kontext wäre htmlspecialchars() anzuwenden.

Hatte ich schon probiert und auf dein Anraten nochmal.

Und am Ende doch nicht gemacht? Du musst ALLES, was in HTML ausgegeben werden, absichern. Kannst du sicher sein, dass die URIs in der DB keine Angriffe enthalten? Und sie das auch in aller Zukunft nicht werden? Vermutlich nicht. Also htmlspecialchars() anwenden!!!

(Der kranke Geist ist hier nicht auf Seiten dessen, der multiple Ausrufezeichen setzt, sonden auf dessen, der Sicherheitslöcher aufreißt.)

Der Firefox-Quelltext zeigt mit oder ohne htmlspecialchars() das Zeichen ' an. Ist nun die Anzeige manipuliert?

htmlspecialchars() wirkt per Default nicht auf '.

Aber ich darf nur dieses eine Zeichen codieren, wenn ich auch http:// durch urlencode umsetzen lasse, funktioniert es nicht.

Auf der sicheren Seite bist du, wenn du nicht speziell ' behandelst, sondern alle derartigen Zeichen im Pfad. URI am ersten / nach dem Hostnamen (Domain) auftrennen, Schwanz behandeln, URI wieder zusammensetzen.

Qapla'