Hallo,

richtig, aber solange man die Parameter nur gegen Referenzwerte prüft, und nicht sonstwie weiter verwendet, sehe ich da keine Gefahr.
Solange Buffer-Overflow o.ä. eine reelle Gefahr darstellen können(nur weil aktuell PHP diesen Bug nicht hat, kann er in einer älteren oder zukünftigen Version vorhanden sein), halte ich es für grob fahrlässig, darin keine Gefahr zu sehen.

nein, keineswegs. Wenn dieses Risiko besteht und ausgenutzt wird, dann ist das Kind bereits in den Brunnen gefallen, wenn das Script startet. Durch das Lesen eines Variableninhalts und Vergleichen mit einer Konstanten entsteht kein Buffer Overflow. Der könnte erst zuschlagen, wenn ich mit dem Variablenwert eine Funktion aufrufe oder eine modifizierende Operation durchführe - sprich: wenn Daten intern wieder kopiert und/oder manipuliert werden.

Ciao,
 Martin