Hi ZeuZ,

sorry, aber ich weiß net was mir das bringen soll!

Warum probierst du es nicht einfach aus? In einem Abschnitt der PHP Info Datei siehst du dann, was das Script für $_POST, $_GET Daten usw. bekommen hat - dann kannst du Debugging betreiben.

ich will einfach wissen, wie man es macht, in diesem Formular am einfachsten ein Preview oder einen Eintrag zu erreichen! Allerdings soll dabei das Script nicht angreifbar sein, mein Freund hat nämlich irgendetwas davon gesagt, dass das leicht angreifbar wäre!

Ob und wie das Script angreifbar ist, kommt ganz alleine darauf an, wie du es programmiert hast und was du für Schutz-Mechanismen eingebaut hast.

Ein Fehler, den mir direkt aufgefallen ist ist dieser hier:

if($isset($show_preview))

Wenn du irgendwo davor NICHT so einen Code stehen hast: $show_preview = $_POST['show_preview'], dann ist dein Script an dieser Stelle angreifbar - zumindest dann, wenn auf deinem Server register_gobals auf on steht, und das ist bei vielen Massenhostern leider immer noch der Fall (aus Kompatibilitätsgründen).

Deshalb solltest du auf solche Formularvariablen immer per $_GET['show_preview'] oder $_POST['show_preview'] zugreifen, je nachdem, ob dein Formular method get oder method post verwendet.

Denn bei dem Fall oben (jetzt davon ausgegangen, dass register_globals auf on steht), brauche ich an die URL nur ein ?show_preview=1 dranhängen, und schon existiert die Variablen, ein isset($show_preview) liefert also true zurück.

MfG, Dennis.