Moin

Also erstmal Danke ich Euch für die Hilfe, hab jetzt alles (außer Javascript-Sachen...) geändert, das Upload-Script für die Bilder ist also Sicher, oder?

Ka, ich hab grad ein paar Probleme...

Aber nochmal zu den htmlspecialchars:
also einfach statt
INSERT INTO tabelle (variable) VALUES ($variable)
INSERT INTO tabelle (variable) VALUES (htmlspecialchars($variable))
oder wie?
Wie kann ich denn alle auf einmal ändern?

Nein, das ist auch nicht gut. Damit nimmst du dir die Möglichkeit vernünfig in den Daten suchen zu können. Mach statt dessen bei der Ausgabe ein echo htmlentities($bla);. Und weil du das öfter tun willst, solltest du dir vielleicht dafür eine extra Funktion anlegen. Dann kannst du mit einer einfachen Suche auch einfacher überprüfen ob du irgendwo ein echo vergessen hast.

Das ist nämlich wirklich unschön, vor allem da das Sicherheitskonzept der Seite auf Cookies basiert, die man mit einem kleinen Fetzen JavaScript an der richtigen Stelle einfach auslesen kann.

BTW: Hast du den testbenutzer gelöscht? Ich kam mit test/test nicht mehr rein. Und das anmelden eines neuen Benutzers ist buggy, wenn bereits eine Sitzung offen ist. Er wollte mir erzählen dass der Benutzername "henryk" schon besetzt gewesen wäre (das selbe auch für den Benutzer "blablubb", etc.). Ausserdem kam ich nicht mehr an den Ausloggenlink. Es ging erst weiter nachdem ich das Session-Cookie gelöscht hatte.

--
Henryk Plötz
Grüße aus Berlin