Hallo Linuchs,

Spontan schreibe ich "ja", wir haben PHP und Javascript, aber kein HTML.

Wir haben Javascript im HTML-Kontext. Als einzelne Datei muss man wahrscheinlich kein htmlspecialchars drüber jagen.

Hier funktioniert es aber nicht (es ist ein </script> im String...):

<!doctype html>
<html lang="de">
  <head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Titel</title>
  </head>
  <body>
<?php
$_POST['name']  = "Paddy's Passion";
$_POST['beruf'] = 'eine >"Rockband"< mit < 5 Sängern? </script>';

$javascript = "
<script>
var name  = '".addslashes($_POST['name'])."';
var beruf = '".addslashes($_POST['beruf'])."';
alert( name +' ist ' +beruf );
</script>
";
echo $javascript;
?>
  </body>
</html>

Gruß
Julius

--

Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Freiheit der Meinungsäußerung brauchen, weil Sie nichts zu sagen haben.

– Edward Snowden