Gudde!

• Variablen *immer* initialisieren! Nicht-Initialisierte Variablen
    koennen in PHP zu unvorhergesehenen Ergebnissen fuehren (Stickwort:
    Importierung von URL-Parametern in den globalen Namensraum).

Insbesondere heißt das: *Kompletter* Verzicht auf "magische" Variablen mit nicht allgemein(!) feststehendem Namen, besonders auf die schon erwähnten URL-Parameter, aber auch Environment-Werte wie $HTTP_REFERER etc. Benutze je nach Bedarf $HTTP_GET_VARS, $HTTP_POST_VARS und die Funktion getenv().

Ich komme mir gerade irgendwie bloede vor, weil ich seit zwei Jahren mit PHP programmiere, aber irgendwie die obenstehenden Zeilen ueberhaupt nicht raffe, wahrscheinlich habe ich immer einfach zu lax programmiert. Ich waere aber doch ziemlich froh ueber ein klitzekleines Quelltext, was denn "magische", "nicht-initialisierte" und Variablen mit "nicht _allgemein_ feststehenden Namen" gemeint sind. Redet ihr von den $$vars?

Und was bieten sich denn dort fuer Sicherheitsluecken?

Gruesse

gr@phics.de