Hat es eigentlich eine spezielle Bewandnis, dass $datensatz['alter'] und $datensatz['datum'] als sicher angesehen werden und nicht mit htmlspecialchars() behandelt werden? Oder wurde dies einfach vergessen?

Darüber hab ich mal nachgedacht.

Die Daten stammen aus der Datenbank. Ich gehe mal davon aus, der Klausi ist kein ganz dummer, und hat die betreffenden Felder auf einen Datentyp gesetzt (oder das Alter errechnet) - so dass sich eine Behandlung mit htmlspecialchars() schlicht erübrigt. Sicher wird er auch selbst Verwalter der Datenbank sein oder diesem vertrauen und vermutlich geht er davon aus, dass wenn jemand soweit Zugriff auf die Datenbank hat, dass er unerlaubt die Datentypen und den Inhalt ändern kann, ganz andere Probleme vorliegen als die Frage ob jetzt noch ein htmlspecialchars() nötig wäre.

Jörg Reinholz