Hi,

Tja, mehr faellt mir jetzt aus dem Stand auch nicht ein, sorry.

mir auch nicht - das ist schon mehr, als ich genannt hätte. Den ersten Punkt möchte ich aber noch etwas deutlicher machen:

• Variablen *immer* initialisieren! Nicht-Initialisierte Variablen
    koennen in PHP zu unvorhergesehenen Ergebnissen fuehren (Stickwort:
    Importierung von URL-Parametern in den globalen Namensraum).

Insbesondere heißt das: *Kompletter* Verzicht auf "magische" Variablen mit nicht allgemein(!) feststehendem Namen, besonders auf die schon erwähnten URL-Parameter, aber auch Environment-Werte wie $HTTP_REFERER etc. Benutze je nach Bedarf $HTTP_GET_VARS, $HTTP_POST_VARS und die Funktion getenv().

Aber mit der Zeit solltest du selbst ein Gespuehr dafuer entwickeln
und "wissen", was sicher oder unsicher ist.

Genau. Meminisse: Sicherheit ist kein Ziel, sondern ein Weg. Es ist nicht möglich, ein System _sicher_ zu machen - Du kannst es nur immer _sicherer_ gestalten. Von Anfang an bei jedem Schritt am Ball zu sein ist das Geheimnis.

Cheatah