Hi!

Aber wenn man im weiteren Code-Verlauf nicht $name, sondern $_POST['name'] verwendet, zündet der in Brain 1.0 integrierte "Achja-ich-muss-ja-Kontextwechsel-beachten-und-immer-alle-notwendigen-Maskierungen-vornehmen"-Trigger zuverlässiger.

Soweit die Annahme. Er muss aber immer zünden, nicht nur bei Eingabewerten. HTML-Code an sich beispielsweise ist für eine Datenbank kein Problem, man muss nur Anführungszeichen beachten. Wenn aber dieses HTML wieder aus dem DBMS kommt, ist der "$_POST-Trigger" nicht mehr da. Trotzdem muss man beim Einfügen in den HTML-Kontext die Behandlung der HTML-eigenen Zeichen beachten, sonst kann diese Lücke indirekt über den DBMS-Umweg ausgenutzt werden. Dieser Ablauf, vom Anwender ins DBMS und später ins HTML (nebst aller kleinen Schritte), ist zumindest für Anfänger schon recht komplex. Er darf sich da nicht in falscher Sicherheit wiegen, nur weil sein "Trigger-Auslöser" nicht da ist. Aus Sicherheittechnischer Sicht muss der Trigger nur Kontextwechsel und nicht Eingabedatenbehandlung lauten. Letztere braucht man aus fachlicher Sicht.

Aber den Kontextwechsel muss man generell beachten, nicht nur mit Eingabewerten.
Wie wahr, wie wahr. Aber genau das wird durch das direkte Verwenden von $_GET, $_POST usw. erleichtert - gerade bei "Anfängern".

Mag sein, aber das ist nicht ausreichend genug. Deswegen sehe ich das nicht als besonders gutes Kriterium an.

Lo!