richtig, aber solange man die Parameter nur gegen Referenzwerte prüft, und nicht sonstwie weiter verwendet, sehe ich da keine Gefahr.

Solange Buffer-Overflow o.ä. eine reelle Gefahr darstellen können(nur weil aktuell PHP diesen Bug nicht hat, kann er in einer älteren oder zukünftigen Version vorhanden sein), halte ich es für grob fahrlässig, darin keine Gefahr zu sehen.