Hi,

Was für HTML-Code generiert denn das PHP-Script bei Eingabe von '"/><script type="text/javascript">alert("böser Code")</script>'?

Das Javascript, das dein Beispiel erzeugt wird ja dann nur in den HTML-Code geschrieben, der dem Client der das PHP-Script aufgerufen hat zurueckgeliefert wird.
Also kann er sich doch dadurch nur selber schaden, oder?
Und wenn er ein Script abschickt, das ihm selber schadet ist er wohl auch selber schuld.

echo $_GET['kurs'];
Gibt es eine Moeglichkeit, in diesem Beispiel irgendetwas in $_GET['kurs] zu uebergeben, dass den Server beeintraechtigen koennte und dort z.B. eine Datei anlegen wuerde.

Wenn man beispielsweise system("touch file.txt") uebergibt wird der string system("touch file.txt") nur in die HTML-Ausgabe geschrieben und nicht ausgefuehrt.

Wuerde mich interessieren, ob ich hier irgendeine Sicherheitsluecke uebersehen habe.

mfG,
steckl