Hi,

Wirklich sicher sind hier eigentlich nur Mappings auf ASCII wie z.B. base64() o.ä., wie auch in einigen Artikeln tatsächlich vorgeschlagen. Aber sowas kostet natürlich nicht nur Rechenzeit (die man zur Not auch mit ordentlich Chuzpe und ein wenig Javascript auf den Client abwälzen könnte ;-)

Den Vorschlag, als sicherheitsrelevant erachtete Transformationen der Daten _clientseitig_ durchführen zu lassen, meinst du jetzt aber nicht ernst, oder?

Sowas würde ich nie tun und das wird hier auch nicht gemacht.
Weiter oben hatte ich ja erwähnt, das nur das durchgelassen werden darf, was auch erwartet wird. Bei base64-Codierung sind das [A-Za-z0-9+/=] und das kann z.B. mit eben diesem Ausdruck gefiltert werden. Sicherheitstechnisch liegt also kein Problem vor, die base64-Codierung kann auf dem Client erfolgen.

so short

Christoph Zurnieden