QuoteWas und ob du escapen/filtern musst, können wird jetzt nicht so sagen.
2013-03-20T09:04:15 MuffiAlles escapen?QuoteWas und ob du escapen/filtern musst, können wird jetzt nicht so sagen.
Da gibts eigentlich eine ganz simple Regel, die immer funktioniert:
Alles.
2013-03-20T09:04:15 MuffiIch würd nicht mal das $i unescaped in die Seite schreiben.
Das geht momentan zwar super ohne, aber irgendwann wird das ganze mal erweitert und per hidden-input wird je nach Formular ein kleiner Präfix für $i mitgeschickt. Und Bumms.
1 2 3 4 5 6 7 8 9
<tr> <td>Beschreibung</td> <!-- Tabellenwert zur Verdeutlichung über mehrere Zeilen gestreckt --> <td><input type="text" size="10" name="beschreibung$i" value="$beschreibungwerte{"beschreibung$i"}" ></td> <td><input type="submit" name="werteuebernehmen"></td> </tr>
2013-03-20T09:25:05 GwenDragonund du escapest vor der Ausgabe $beschreibungwerte{"beschreibung$i"} als HTML-kodiert, dann sind diese Werte nachher nicht mehr verwendbar, weil aus manchen Zeichen dann &xxx; kodiert wird.
<input type="text" value="<%= he $value %>">
<a href="<%= url($url, %arg) %>">
2013-03-20T09:17:28 GwenDragon2013-03-20T09:04:15 MuffiAlles escapen?Da gibts eigentlich eine ganz simple Regel, die immer funktioniert:
Alles.