Hi,

na ja, die Antwort ist: Die Prüfung ist sowohl für die reine Funktion als auch für die Sicherheit da. Deine Software muss natürlich prüfen, ob die Informationen die übermittelt wurden im Kontext der Anwendung Sinn machen. Die eMail-Adresse "123" wäre demnach eher hinderlich.
Aber gleichzeitig könnten Hacker jegliche Art von Schwachstelle im Code ausnutzen um Informationen oder Rechte zu erlangen. Ein Paradebeispiel ist das Austricksen eines Login-Skriptes:
Variablen $user und $password
--> Abfrage
SELECT * FROM users WHERE user = '$user' AND password = '$password'
Soweit so gut, PHP bringt auch ein paar Sicherheitsmechanismen mit, damit dies nicht passiert, aber nur mal hypothetisch: Was wäre, wenn jemand als $password
  xyz' OR 'abc'='abc
angibt? In das Statement eingesetzt gibt das eine Abfrage, die den User erfolgreich anmeldet (sofern er existiert, sonst macht man das selbe mit dem Benutzernamen nochmal.

Daher: Inhalte immer prüfen.

MfG
Rouven

echo $begrüßung;

habe aber auch schon mal gelesen, das der Inhalt auf schrägstriche und so geprüft wird, um Hackerangriffe zu unterbinden, die über die url eingegeben werden.

Das was du gelesen hast wird sicher irgendetwas mit dem Magic-Quotes-Mechanismus zu tun haben. Der soll durch das automatische Einfügen von \ vor ',",\ und NULL-Zeichen in GET/POST/COOKIE-Daten einen gewissen Schutz vor SQL-Injection bieten.
Wenn man nun aber gar keine Datenbank mit den Eingabewerten füttern möchte hat man überflüssige Backslashes in seinen Daten. Und außerdem gibt noch ein paar mehr Zeichen, die maskiert werden müssen, und die beachtet dieser Mechanismus nicht.
Mit anderen Worten: Magic-Quotes sind gut gemeint und "gut gemeint" ist oft das Gegenteil von "gut".

Also: Magic-Quotes ausschalten, oder zum Scriptbeginn entfernen, wenn man keinen Konfigurationszugriff hat. Und für das jeweilige Ausgabemedium die passenden Funktionen zum Maskieren verwenden.

echo "$verabschiedung $name";

Hallo Tom,

Bei $_GET und $_POST lohnt es sich aber meistens doch, "interne Variablen" anzulegen - natürlich erst nach einer Prüfung der Existenz und des Inhalts.

Die Arrays sind alle ganz normale "interne Variablen". Während der Laufzeit des Scriptes stehen sie nur diesem zur Verfügung. Warum also noch weitere redundante Daten erzeugen?

Das bleibt - wie übrigens schon gesagt - jedem selbst überlassen. Bei mir selbst hat sich es als guter Stil erwiesen, die Inhalte von $_GET und $_POST als gefährlich zu betrachten und erst nach eingehender Prüfung die entsprechenden Variablen anzulegen.
Aus dieser einfachen Trennung folgt IMHO Übersichtlichkeit und dementsprechend auch Sicherheit, da man den Überblick nicht so schnell verliert.

Grüße

Marc Reichelt || http://www.marcreichelt.de/

Hallo,

wenn du planst diese skripte auch von der console ausführen zu können, oder
code aus den skripten weiterzuverwenden, und dort zu verwenden wo das session, bzw get, post konzept nicht existiert.

gruss

echo $begrüßung;

meintest Du etwa:

Standard Array: 0.102ms
  $_SESSION: 0.197

Wie du sicherlich weißt, lege ich keinen Wert auf unsinniges Herauskitzeln jedes noch so kleinen Fitzelchens Laufzeit, deswegen schränkte ich meine Empfehlung auch mit den Worten ein: "Wenn du also Performance-Probleme ... hast". Es besteht also kein Grund zur Panik oder in Aktionismus zu verfallen, wenn man keine solchen Probleme hat.

Sessionvariablen werden definitiv erst im Exit-Handler des Scriptes zurückgeschrieben in die Sessiondatei. Sie werden mit Session_Start() einmalig gelesen.

Das mag sein (bezogen auf den zweiten Satz, den ersten zweifele ich nicht an).

Nachfolgende Veränderungen (z.B. durch ein weiteres Script) der Sessiondatei haben keinen Einfluss auf die Variableninhalte und ihre Werte innerhalb des ersten Scriptes.

Das findet sowieso nicht statt, da gemäß Handbuchseite zu session_write_close() (auch auf deutsch) die Sessiondatei gesperrt ist, wenn ein Script sie grad "in der Mache hat".

[...] Das hieße dann also, dass der letzte Schreiber Recht behält und man sich selber um die Konsistenz der Session kümmern muss.

Nicht wenn man dem Handbuch Glauben schenken darf.

echo "$verabschiedung $name";