Hi Martin,

Und einmal hast du den Fragezeichen-Operator sogar dringelassen, findest ihn also so übel auch wieder nicht? ;-)

Ich habe ja auch nicht behauptet, dass ich ihn übel finde ;-) Ich mag nur die mehrfache Verschachtelung in einer Reihe geschrieben nicht. Wenn du aber

Bedingung, wenn
     ? dann
     : sonst

schreibst, beziehungsweise

Bedingung, wenn
     ? dann Bedingung, wenn
         ? dann
         : sonst
     : sonst

...so bin ich damit auch vollkommen zufrieden ;-) Das ist dann in meinen Augen auch wieder gut leserlich :-)

Jetzt möchte ich aber mal wissen, wie du durch bloßes Übergeben eines fiesen URL-Parameters den IMHO wasserdichten (weil nur aus Konstanten bestehenden) Ausdruck $_SESSION["style"] sabotieren möchtest.

Das du hier etwas übersehen hast, hat dir MudGuard ja schon gesagt ;-) Womit aber mal wieder bewiesen wäre, dass man grundsätzlich ALLE Werte, welche einem Kontextwechsel unterzogen werden bedingungslos durch eine dafür vorgesehene Escaping-Funktion schicken sollte.

Auch wenn der Wert nicht aus $_GET geladen würde, so wäre doch davon auszugehen, dass er beispielsweise aus einer Datenbank kommt. <Theorie>Dann hast du oder eine andere Software irgendwo eine Sicherheitslücke, ein Angreifer modifiziert die Datenbank und wir werden wieder mit dem gleichen XSS-Problem konfrontiert.</Theorie>

Viele Grüße,
  ~ Dennis.