Der Böse Unbekannte.

Ah ja, der. :-)

Inhaltlich halte ich Deine Anmerkung im ersten Posting natuerlich fuer sehr wichtig und wertvoll. Nur, weil mir kuerzlich oefters aufgefallen ist, dass viele Leute so eine "Keine Ahnung, ob mein Skript sicher ist (und auch nicht, was ich mit 'sicher' eigentlich genau meine), also hau ich nochmal ein paar Escape-Funktionen rein an Stellen, die so aussehen, als koennten sie es vertragen"-Herangehensweise haben, schien mir das Ganze (insbes. der letzte Nachsatz) diese evtl. noch ein bisschen zu verstaerken, denn der Code, der da konkret steht, ist nun mal nicht unsicher. Daher wollte ich mal etwas genauer fragen.

Und schon allein aus Sicht einer sicherheitsorientierten Denkweise sollte man sich angewöhnen, sämtliche Variablen passend zu escapen, unabhängig von der Tatsache, dass sie eventuell im konkreten Fall garantiert nur sichere Zeichen enthalten. Denn wenn man immer Escaping macht, fällt es leichter ins Auge, wenn Escaping mal fehlt. Denn wenn Escaping fehlt, ist das das Potential für Unsicherheiten.

Hier natuerlich vollste Zustimmung.

Viele Gruesse,
der Bademeister