Guten Morgen Gunnar Bittersmann,

Was, wenn der Name nun <script src="http://example.net/bad-code.js"></script> ist?

Dürfte ja nich drin stehen, da das <script ja durch den "$_POST check" rausfällt und der Name aus einer Datenbank kommt aber im Prinzip hast du Recht.

Auch hier muss kontextgerecht escapet werden: htmlspecialchars().

Richtig, wie gesagt ist die funktion noch primitiv, funktioniert aber fürs erste.

Natürlich nur die Daten. Markup sollte prinzipell nicht mit PHP echo ausgegeben werden.

Wie dann? Ich muss ja php irgendwie sagen können, dass er mir einen Bereich in einer Schleife ausgeben soll.

Da das Ganze in einer Schleife steht, sind die id-Attribute falsch; eineunddieselbe ID darf ja schließlich nur ein einziges Mal vergeben werden.

Ja richtig... wär mir auch später noch aufgefallen.

<article>
  <footer>
    <time datetime="<?php echo date('c', $row['message_date']); ?>"><?php echo date('H:i:s', $row['message_date']); ?></time>
    <span class="author"><?php echo htmlspecialchars($row['message_writer']); ?></span>
  </footer>
  <p class="message"><?php echo htmlspecialchars($row['message']); ?></p>
</article>

Eine Schleife muss hier schon irgendwie rein...?? Du hast Recht, so könnte man das besser machen, da ich aber erst bei der Funktionalität bin hab ich auf html noch kein großen Wert gelegt.

Gruß Jo