Mahlzeit,

Habe eine variable $a

WO hast Du die?

der Inhalt dieser Variablen wird entweder über url anhang oder formular gefüllt, da ist es doch vollkommen egal ob ich diese Variable direkt beziehe oder über $_GET[$a] oder $_POST[$a] - der Inhalt ist doch exakt der gleiche, oder???
OK, durch get/post kann ich sehen woher der Inhalt der Variablen kommt, aber das ist doch schon alles.

Genau darum geht's: dass niemand Deine Variablen "von außen" manipulieren kann, sondern Du stattdessen die Werte explizit aus den genannten Arrays "abholen" musst (und sie dabei natürlich auf Gültigkeit usw. prüfen solltest).

In beiden Fällen ist es doch gleichwichtig, wie ich im Script mit der Variablen umgehe also je nach Verwendungszweck (htmlspecialchars, etc. etc.) die Variable "entschärfe".
Welche zusätzliche Sicherheit bietet mir das Globals Off?

Wenn "Globals = On" gesetzt ist, hättest Du, wenn Du z.B. einen URL-Parameter wie "?a=foobar" an Dein Skript anhängst, automagisch eine mit dem String "foobar" gefüllte Variable $a zur Verfügung. Das Problem daran ist, dass man damit beliebe Inhalte in Dein Skript einschleusen könnte, wenn Du Deine Variablen vor der ersten Benutzung nicht initialisierst.

Bitte nicht böse sein - versuche es nur zu verstehen :-)

Aber gerne doch.

MfG,
EKKi