Hi!

Nein. Es kommt darauf an, wer die URL auf diese Weise zusammenbaut. Wird sie von extern geliefert, würde ich auf die URL-Kodierung verzichten, denn das PHP-Script kann nicht sagen, ob die URL nicht vielleicht schon kodiert ist

Das müsste man doch eigentlich feststellen können...

Nicht mit Sicherheit, denn ein Programm kann lediglich anhand von Indizien entscheiden, nicht aber die Intention dahinter erkennen. Du kannst natürlich feststellen, ob die entsprechenden Teile der URL gültige URL-Kodierung-Sequenzen und kein unkodiertes Zeichen enthält. Aber wozu der ganze Aufwand? Wenn ich die URL nicht selbst zusammengebaut habe, interessiert es mich eigentlich auch nicht, ob der andere dabei Fehler eingebaut hat oder nicht. Das ist zunächst sein Problem. "Meine" Sicherheit ist auf alle Fälle durch htmlspecialchars() gewährleistet.

Lo!