Hi Sven

Es reicht aus, bei der Ausgabe in HTML htmlspecialchars() aufzurufen.

Wieso kann dieser Code trotzdem meine Seite zerschießen???

var hat doch jetzt den Wert
<script>alert('CSS Vulnerable')</script>
oder etwa nicht?

Anschließend an den Alert bekomme ich ...

Also htmlspecialchars() macht weniger als htmlentities() - Hm.
Dann _sichert_ es also nicht MEHR - Hm.
Dann hat meine Variable var nach der Anwendung von htmlspecialchars(var) also immernoch den Wert
<script>alert('CSS Vulnerable')</script&gt
und dann wird eine Seite geladen, die als allererstes für jedes gehackte Eingabefeld einen Alert ausführt. Hm.

Mal abgesehen von der Sicherung der Datenbank - immernoch meine Frage: Wieso geht das überhaupt?
Denn wenn ich
<script>alert('CSS Vulnerable')</script>
in das Eingabefeld eingebe passiert ja auch nichts...

$_POST['var'] macht ja offensichtlich komische Dinge mit dem Script bevor es überhaupt abgefragt (und dabei entschärft) wird...

Hm
     *Alex*