Die Performanceeinbußen eines zusätzlichen Funktionsaufrufs und unveränderter Stringausgabe sind zwar meß- aber nicht wahrnehmbar.

Das ist nicht ganz richtig. Denn gerade im verbreiteten Massenhosting auf hoch belasteten Servern wird sich jede Performanceverschlechterung in wahrnehmbarer Weise äußern, denn die einzelnen Verschlechterungen summieren sich zu abertausenden und Zeichenkettenoperationen sind, jedenfalls so weit ich darüber Bescheid weiß, sämtlich relativ "teuer".

Die Sicherheitseinbußen bei späterer, ungeeigneter Codeänderung an ganz anderen Zeilen als der Redirect-Header-Ausgabe hingegen werden nicht nur wahrnehmbar sein, sondern auch ganz andere Kosten verursachen können.

Du schreibst selbst "können". Darauf bin hier eingegangen. Im Übrigen hatte ich ja selbst vorgeschlagen gleich

code lang=php]
header('Location:http://www.example.com/test.php?datum='.date('Y-m-d'));
exit;
[/code]

zu notieren - was jedes Argument, hier zu escapen, in Rauch aufgehen lässt (der natürlich schon wieder die "arme Umwelt" - die immer noch reich ist, dass wir sie ausbeuten können - belastet).

Das dieses immer wieder von den Vertretern der "Du musst-hier-escapen-Fraktion" ignoriert wird wirkt doch recht zielorientiert. Ich hätte kein Problem damit, wenn irgendwer geschrieben hätte, dass diese Variante hinsichtlich möglicher, künftiger Änderungen sicherer ist.

Im übrigen vermute ich, dass das Skript gar nicht mehr als diese Zeile(n) enthalten wird.

Jörg Reinholz