Stefan Alpers: Formular und Variable

Beitrag lesen

Hast du auch verstanden, was du da verlinkt hast? Es geht dort und auch in vielen meiner bisherigen Postings darum, Eingabewerte zu _prüfen_. Das einfache Umkopieren in eine andere Variable erfüllt diese Aufgabe nicht.

Ich wollte darauf hinweisen, dass man alle übergebenen Werte aus $_GET, $_POST, ... prüfen und diese nicht direkt verwenden sollte:

"Keinesfalls darf ein Programm Werte aus einer GET, POST oder COOKIE-Quelle direkt verwenden. Jeder externe Wert ist einer Plausibilitätsprüfung zu unterziehen, bevor er verwendet wird (Genau das wird in Wie unterscheide ich böse Variablen von guten? näher beschrieben)."

Deiner ersten Aussage

Ein "Abholen" ist nicht erforderlich. Man kann da, wo im weiteren $title verwendet wird ebensogut $_REQUEST['titel'] verwenden (oder $_GET/$_POST statt $_REQUEST wenn es etwas spezifischer sein soll).

kann man das nicht entnehmen. Aber vielleicht bin ich da auch zu haarspalterisch.

Viele Grüße,

Stefan