Hallo,

Benutzereingaben u.a. Daten fremder Herkunft dürfen nie unbearbeitet in HTML-Code ausgegeben werden, sondern müssen immer gegen Einschleusen von Schadcode abgesichert werden: htmlspecialchars()

es geht hier nicht um eine Ausgabe wie im Ausgangsposting sehen kannst, sondern um eine Datenbankabfrage bzw. um das Füllen von einer Variable. Daher ist diese Bemerkung von dir an dieser Stelle völlig unnötig.

Auch ist deine Aussage falsch wenn man möchte, dass Code vom User ausgeführt wird, solche Anwendungen gibt es zu genüge! Es kommt immer auf das Gesamtkonzept an.

Ein Beispiel, ich bekomme von unserem Lieferanten Daten die auch HTML Code beinhalten, wenn ich diesen durch htmlspecialchars laufen lassen würde, hätte ich eine verfälschte Ausgabe und wäre sofort meine Lizenz los und müsste mit einer Klage rechnen.

Allerdings kenne ich deine Beiträge und rege mich über solche Aussagen erst gar nicht auf.