Hallo,

Unsichere Daten aus $_GET/$_POST/$_COOKIE sollte man auf keinen Fall direkt ins HTML reinschreiben, sie müssen vorher bereinigt und dem Kontext entsprechend maskiert werden, d.h. mindestens mit htmlspecialchars.

Vielen Dank für den Hinweis! Soll ich dann einfach den ganzen Code ändern, indem ich $_post gegen htmlspecialchars($_post)austausche? Oder geht das auch mit diesem netten Tool hier zuverlässig?

Liebe Grüße, Nathi