Hallo,

Nur - eine Mitteilung könnten die schon machen, ich schau ja nicht jeden Tag nach, ob meine Scripts noch funktionieren.

das ist allerdings wahr. Einfach still und heimlich umstellen finde ich auch nicht okay.

Allerdings ist mir nicht ganz klar: Was ist so gefährlich an register_globals?

Die Einstellung bzw. das Feature ist an sich gar nicht gefährlich - wenn man beim Schreiben seiner Scripte sehr konsequent und diszipliniert vorgeht. Wenn man wirklich jede Eingabe von außen sorgfältig auf Plausibilität überprüft. Peinlich genau darauf achtet, dass man nie aus Versehen uninitialisierte Variablen verwendet. Bestimmt gibt es noch ein paar Sünden in der Art, die mir jetzt auf die Schnelle nicht einfallen.

Denn mit register_globals kann schließlich jeder, der dein Script aufruft, Variablen mit beliebigen Namen und beliebigen Werten in deinem Code einschleusen. Wenn jetzt noch eine kleine Schlamperei im Script steckt, die normalerweise nicht auffällt, dann tut dein Script auf einmal Dinge, die du nie erwartet hättest. Und das kann unangenehm sein ... ;-)

Ich bringe grad meinem Neffen bei, was ich halt so über PHP weiß, und in allen Tutorials, die ich gefunden habe, wird ganz selbstverständlich davon ausgegangen, dass ein Formularinput <input ... name="var"> im Script als $var ankommt.

Ja, das war bis einschließlich PHP4 auch die Defaulteinstellung. Damals haben die PHP-Entwickler sich wohl noch nicht so sehr um solche möglichen Stolperfallen gekümmert. Das Bewusstsein dafür ist anscheinend erst mit PHP5 allmählich gekommen.

So long,
 Martin  [der aus'm Schwobaländle]