das oben is ja nichtmal das vollständige formular..

bzw sieht man dort alles was innerhalb der FORM Tags kommt.. nur ist das alles?
die textarea name="kommentar" und das inputfeld name "uebrig"

Also: soviel wie ich dazu sagen kann..

es gibt hier im Forum ne anleitung womit man den HB anpassen kann.. LESEN!

dann solltest du, wenn du den eintragungen deines scriptes vertraust, nach und nach sämtliche input,textarea,select/option Felder in den HB eintragen in die whitelist..

oder aber du machst nach und nach immer nur 1 rein testest.. wenns blockt ersetzte das mit nem anderen.. bis der fehler weg is.. geht er nicht weg und du vertraust dem script, dass es sicher ist, dann pack alle mit rein..

ggf. mit einem kommentar
// Name des eigenen Scriptes
'feldname','feldname' .............. usw


bedenke das alle übertragungen sicher sein müssen wenn du alles aufführst

DB Eintragungen MÜSSEN entweder per intval bei ziffern oder per addslashes bei strings zwingend erforderlich sein
Ausgaben sollten, wenn möglich, stets mit htmlentities/htmlspecialchars oder ähnlich bestückt werden..

gut das es keine gäste können.. solange im script wirklich jene spezielle abfrage steht.. allein den link zum script damit abzufragen bringt nix wnen ich die url dahin kenne