Das mußt du also zwingend serverseitig prüfen, denn alles, was vom User zurückkommt, ist potentiell böse

AMEN! Das sollte jedem, der irgendeine Software mit Netwerkanbindung oder User-Interaktion schreibt, intensivst eingebleut werden.

Leider vergeigen auch riesige Firmen immer noch die Überprüfung der Daten, mit denen ihre Client-, Server- oder Anwendungssoftware arbeiten. Jede Anwendung sollte davon ausgehen, dass ALLE Benutzereingaben und ALLE Daten aus dem Netz sowie ALLE Dateien bösartig sind, bis eine Validierung das Gegenteil beweist.

Perls Taint-Mode ist ein kleiner Schritt in die richtige Richtung, der zumindest die Weitergabe von unvalidierten Eingaben an kritische Betriebssystemfunktionen unterbindet.

Alexander