Hallo Robert,

vor einigen Jahren habe ich mal einen VHS PHP-Wochenendkurs belegt und u.a.. dieses kleine Programm erstellt.

So etwas lernt man bei der Volkshochschule? Ich kann es kaum glauben!

bitte berücksichtige:

a) vor einigen Jahren,
b) Volkshochschule
c) Wochenendkurs

a) vor einigen Jahren war die php.ini-Einstellung register_globals = On Standard.
   Auch nachdem es im Auslieferungszustand standardmäßig auf off geändert wurde,
   blieben doch viele Hoster zunächst noch bei on, um nicht ihre Kunden zu
   vergraulen, deren Skripte sich darauf verließen.

Eine kleine Archivsuche zu diesem Thema bringt viele, viele Threads ans
   Tageslicht. Es werden zwar weniger, aber ab und an gibt es wieder einen
   wie diesen hier.

Wie gesagt, vor einigen Jahren war das Standard - und es fand sich genau
   so in PHP-Büchern und erst recht in Tutorials. Kein Wunder, dass es so
   auch in der

b) Volkshochschule gelehrt wurde. Dort, wie anderswo, gibt es enorme
   Unterschiede in der Qualität des vermittelten Lehrstoffs wie auch in der
   Qualität der Vermittlung. Die Zielgruppe der Volkshochschule ist nicht
   die der Hochschulen, das Kursniveau wird daher im Normalfall Uniniveau
   nicht erreichen - und will es auch nicht.

c) Was erwartest Du von einem Wochenendkurs, d.h. vielleicht 16 UE?
   Wahrscheinlich "Einführung in PHP". Eventuell auch für Programmieranfänger.
   Welche Inhalte (inklusive Übungen) kannst Du in diesem Zeitraum vermitteln?
   Welches Wissen kannst Du voraussetzen? Wenig.

Sicherlich wäre es wünschenswert, wenn in einem Programmierkurs die Vermittlung von sicherheitsrelevantem Wissen ganz oben in der Prioritätenliste stände. Wenn Du jedoch wegen lauter "Sicherheit" nicht mal ein einfaches "Hallo Welt"-Beispiel zum Laufen bekommst, dann hat der Wochenendkurs (über dessen Sinn man eh' streiten könnte) ganz sicher das Ziel verfehlt.

Deswegen bitte ich Dich, nicht zu harsch zu urteilen, sondern die Umstände zu berücksichtigen. In diesen Jahren hat sich viel getan, auch in Sachen Sicherheit. In diesen Jahren wurde viel Wissen zusammengetragen, auch in Sachen Ausnutzen von Lücken. Klar, nicht nur Du, auch viele andere (selbst ich) haben hier Fragenden oft empfohlen, ihre bisherigen Unterlagen wegzuwerfen - und neue, bessere zu suchen und zu verwenden.

Dies ist ein Prozess, der ständig weitergeht. So gibt es selbst heute noch Seiten im Internet, die die unsäglichen Magic Quotes als Sicherheitsmaßnahme empfehlen. Ich kann es kaum glauben. *scnr*

Ich freue mich schon auf die Zeiten, wenn PHP6 Standard sein wird - und die Magic Quotes verschwunden sein werden. Auch das PHP-Handbuch ist in dieser Hinsicht nicht in jeder Hinsicht empfehlenswert. Man sollte das dritte Beispiel bei mysql_real_escape_string() lesen,dazu den Abschnitt Why not to use Magic Quotes.

Freundliche Grüße

Vinzenz