hi,

Hm. Nein. Traue niemandem. Validiere allen Input oder stirb.

ich hatte die frage so verstanden, dass es zunächst mal um serverseitige lücken geht - also sql injections, etc.

---

<input type="text" name="var"
       value="<?php echo $_REQUEST['var']; ?>"/>

Jetz gebe ich in das Textfeld ein:

"/><script>while(true){}</script>

gut, das ist die bearbeitung bei der _ausgabe_ der daten.
in meinen augen eine vollkommen andere baustelle.

gruß,
wahsaga