Yerf!

ob $a sofort verfügbar ist, oder erst "abgeholt" werden muß ändert doch nichts am Inhalt von $a? Sprich die Variale ist genauso beliebig von außen manipulierbar: wenn ich jetzt böswillig "?a=<script>lösche Datenbank</script>" anhänge passiert das gleiche ob GLobals on oder Off gesetzt sind. Entweder ich überprüfe die Variable vor Gebrauch oder nicht (dann ist's blöd gelaufen) aber ob die Variable sofort zur Verfügung steht oder aus dem Array abgeholt werden muß macht doch keinen Unterschied - sorry ich peil's einfach nicht.

Das Problem sind nicht die Variablen, von denen du erwartest, dass sie per Post/Get kommen, sondern alle anderen. In PHP ist es möglich Variablen ohne vorherige Initialisierung zu verwenden. Ist dies der Fall, so kann jemand durch Modifizieren der URL dir ungünstige Werte in diese Variablen einbringen.

Oder anders Ausgedrückt: mit register_globals muss *absolut jede* Variable als potentiell gefährlich betrachtet werden.

Gruß,

Harlequin