Hi!

Wenn Daten in $_POST, $_GET, $_REQUEST, $_COOKIE, stehen, dann weiß ich: Dies sind Nutzereingaben, also potentiell vergiftet und ich muss (mindestens) diese vor der Verwendung behandeln um schädliche Handlungen irgendwelcher Benutzer zu verhindern.

Das "man kann sehen, dass es Benutzerdaten sind und deshalb weiß man, dass sie gefährlich sind" mit der daraus resultierenden Gegenschluss "alles andere ist sicher" wäre ein Trugschluss.

Den Trugschluss habe ich aber ausweislich meiner Formulierung gerade nicht nahe gelegt. Wenn ich behaupte, dass "wenn Daten in $_POST, $_GET, $_REQUEST, $_COOKIE, stehen, diese potentiell vergiftet sind, dann hab ich über andere Variablen gar nichts gesagt. Wie kommst Du dazu mir jeder Logik zu wieder anderes zu unterstellen?

Du erwähnst explizit die Benutzereingaben, die man besonders vorsichtig behandeln muss. Das lässt den Schluss nahe, dass es Daten geben muss, die nicht so kritisch beachtet werden müssen. Die gibt es aber nicht. Welchen Grund sollte sonst die gesonderte Erwähnung haben? Alle Arten von Daten sind kontextgerecht zu behandeln. Benutzerdaten sind also keine Ausnahme, sie müssen nicht gesondert behandelt werden, nur kontextgerecht.

Es sind prinzipiell alle Daten zu behandeln.
Wieso sollte ich $datum  behandeln wenn ich es zuvor mit $datum=date('Y-M-D H:i:s'); gefüllt habe?

Behandelt werden sollten Daten stets zuerst im Kopf. Was habe ich für Daten? Wo füge ich sie ein? Was muss dabei beachtet werden? Und in dem Sinne solltest du auch mit selbst erzeugten Daten verfahren.

Lo!