Hallo!

Und wenn man nicht per URL-Parameter in den Logfiles Spuren hinterlassen will (irgendwie muß man ja die URL des einzubindenden Codes übermitteln), dann nimmt man eben POST in einem Formular. Und auch da würde mit $_GET und $_POST ein Sicherheitsschutz greifen, denn wenn du die Parameter per GET erwartest, kann sie niemand mehr per POST unterjubeln.

Mit den Spuren, ich mache mich aber nicht für irgendwelche Abmahnungen angreifbar, wenn ich Adressdaten... mit GET übergebe, oder? Vor allem bei SSL sollte das ja egal sein bzw. in keinen Logfiles auftauchen, oder?

Also merken: Die automatische Übernahme von Parametern in Variablen ist böse, und die fopen-wrappers sind böse. Es ist besondere Vorsicht vor allem dann angesagt, wenn der include()-Befehl variable Seiten zum einbinden erhält.

Sowas habe ich noch nie gemacht und auch nicht gebraucht. Aber Du hast Recht, mit register-globals off brauche ich mi nicht mehr Sorgen um ALLE Variablen machen, sondrn nur noch um die tatsächlich erwarteten. Das ist in der Tat ein großer Vorteil!

Viele Grüße
Andreas