Hallo,

if ($_GET['logout']
unbehandelte $_GET-Variablen sind ein Sicherheitsrisko.
Was meinst du mit "unbehandelt"?

"unbehandelt" heißt in diesem Zusammenhang: Nicht auf Gültigkeit geprüft.

Mir ist bewusst, dass sich jemand von meinem internen Bereich ausloggen kann, indem er einfach die Datei logout.php?logout=1 aufruft, anstatt auf meinen Logout-Button zu klicken, der dann genau das selbe macht.

Wenn das die einzigen Konsequenzen sind und du dir darüber im Klaren bist, ist alles okay. Es ging Matthias wohl eher um eine grundsätzliche Sache, weil das ungeprüfte Verwenden von Benutzereingaben häufig Ursache für Fehler, teilweise schwerwiegende Fehler ist.

Solange du aber entweder Falscheingaben ausschließt, oder -wie in diesem Fall- die Auswirkung von nicht vorgesehenen Aktionen überblicken und für harmlos erklären kannst, ist das in Ordnung.

Ciao,
 Martin