Tach!

Ganz ruhig, Brauner! Das ist eine Test-Ausgabe, die gleich darauf wieder aus dem Code verschwindet.

Wer das mit der kontextspezifischen Behandlung von Daten verinnerlicht hat, macht das immer. Wer das nicht verinnerlicht hat, macht es auch sonst nicht. Deshalb halte ich den Hinweis auch hier für angebracht.

Wer das weiß, weiß wann man das machen muss und macht das nicht stur nach einer Regel - und sich dabei die Daten kaputt. $_POST ist ein Array. Wenn du das durch htmlspecialchars() schickst, kommt das Wort „Array“ raus. Dessen Anwendung ist also nicht nur überflüssig sondern sogar falsch. Wenn du es denn unbedingt kontextgerecht ausgeben lassen willst, musst du sowas wie

echo htmlspecialchars(print_r($_POST, true));

notieren. Das ist viel zu viel Aufwand für eine schnöde Testausgabe. Selbst wenn man das in eine Funktion auslagert - die muss man ja dann auch noch einzubinden nicht vergessen.

Es ist jedenfalls nicht davon auszugehen, dass jemand, der diese Funktionen verwendet, sich selbst mit XSS angreift.

Hat Jnnbo vielleicht hier im Thread oder in einem anderen den URI zu seiner (Test-)Seite preisgegeben? Während er/sie seine Seite testet, könnten andere das auch tun.

Und? Meinst du, die greifen sich dann an? Oder die Testausgabe bleibt lang genug drin, dass es jemandem gelingt, anderen daraus eine Falle zu bauen? Gib mal bitte ein Beispiel, was man schlimmstenfalls damit anrichten kann.

dedlfix.