@@Felix Riesterer

Du machst da sehr gefährliche Sachen!

Ja. Und das auch in der anderen Richtung:

	        $date = date("H:i:s", $row['message_date']);
		$output = '<p><span id="message_time">'.$date.' </span><span id="message_writer">'.$row['message_writer'].' : </span><span id="message">'.$row['message'].'</span></p>';
		echo $output;

Was, wenn der Name nun <script src="http://example.net/bad-code.js"></script> ist?

Auch hier muss kontextgerecht escapet werden: htmlspecialchars().

Natürlich nur die Daten. Markup sollte prinzipell nicht mit PHP echo ausgegeben werden.

Da das Ganze in einer Schleife steht, sind die id-Attribute falsch; eineunddieselbe ID darf ja schließlich nur ein einziges Mal vergeben werden.

Hier könnten dann Klassen vergeben werden. Wenn überhaupt – notwendig sind sie nicht, denn:

Im Übrigen ist das Spanitis. HTML stellt passende Elemente bereit:

<article>
  <footer>
    <time datetime="<?php echo date('c', $row['message_date']); ?>"><?php echo date('H:i:s', $row['message_date']); ?></time>
    <span class="author"><?php echo htmlspecialchars($row['message_writer']); ?></span>
  </footer>
  <p class="message"><?php echo htmlspecialchars($row['message']); ?></p>
</article>

Formatierung per CSS, bspw:

article > footer,
article > p
{
  display: inline;
}

article > footer::after
{
  content: " : ";
}

LLAP 🖖