Hi!

Ich sehe den grössten Nachteil im umkopieren darin, dass man im laufe der Script-Entwicklung vergessen kann, dass $_VarInt eine Benutzereingabe von $_GET['q'] ist und dem zufolge vergessen könnte, diese dann zu escapen, wenn man es in einem bestimmten Kontext verwenden möchte.

Ein nicht beachteter Kontextwechsel ist nicht nur mit direkten Benutzereingaben mindestens ungünstig, sondern auch bei Werten, die aus vermeintlich sicherer Quelle kommen. Um es mal so zu sagen: dem Kontext ist es egal, woher seine Daten stammen, er (miss)interpretiert sie stets nach seinen Regeln.

Wenn du dich nach der Datenquelle richtest, musst du stets den gesamten Verarbeitungsprozess beachten, und auf Lücken untersuchen. Das ist mit zunehmender Projektgröße unhandlich, auch weil man Teilstücke kapselt (Funktionen) und in beliebiger Kombination aufruft.

Lo!