Moin!

Ansonsten kann es dir passieren, dass man dir zusätzliche Kommandos in die Kommandozeile einfügt, die du aber absolut nicht ausgeführt sehen willst.

Wer ist denn hier "man"?

Der Böse Unbekannte.

Ich gehe mal davon aus, dass der gelieferte Code nur zu Demozwecken genutzt wurde, und in Wahrheit die Variable aus dynamischen Quellen gespeist wird. Im Zweifel ist das aber auch irrelevant, denn auch blöde Sonderzeichen, die man unwissend der Variablen absichtlich zuweist, können das positive Gesamtergebnis unschön negativ beeinflussen.

Und schon allein aus Sicht einer sicherheitsorientierten Denkweise sollte man sich angewöhnen, sämtliche Variablen passend zu escapen, unabhängig von der Tatsache, dass sie eventuell im konkreten Fall garantiert nur sichere Zeichen enthalten. Denn wenn man immer Escaping macht, fällt es leichter ins Auge, wenn Escaping mal fehlt. Denn wenn Escaping fehlt, ist das das Potential für Unsicherheiten.

- Sven Rautenberg