Hi!

Der allgemeine Tenor lautet - und so auch deine Aussage - "prüfe alle Eingabedaten, das ist wichtig für die Sicherheit". Stellt sich die Frage: worauf prüfen und welche Sicherheit? Bei der Eingabe steht doch noch gar nicht fest, welches Ausgabemedium angesprochen wird. Also was soll man denn da prüfen - außer auf fachlichen Inhalt? Aus Sicherheitssicht ist Prüfen auch gar nicht notwendig. Stattdessen muss beim Ausgeben eine Behandlung gemäß Kontext stattfinden. Und das nicht nur für die Eingabedaten.

Mal ein konkretes Beispiel: In ein Eingabefeld darf der Anwender einen beliebigen Text eingeben. Dafür wüsste ich grad keine sinnvolle Eingabedatenprüfung aus Sicherheitssicht. Bestimmte Zeichen zu entfernen ist nicht notwendig. Die Ausgabebehandlung kümmert sich um deren Entschärfung - und das ist in dem Sinne keine Prüfung.

Lo!