Zweitens dann, wieviel Extra-Performance ein einzelner Funktionsaufruf im Vergleich zu keinem Aufruf verbraucht wird.

Wenn Du die Frage so stellst: Genau hundert Prozent des eigenen Performance-Verbrauchs.

und ob es vernünftig ist, dieses generelle Performanceproblem durch aufwendige Mikrooptimierung im sicherheitsrelevanten Codebereich zu lösen.

Die "Mikrooptimierung" ist eine "Nichtverschwendung". Siehe unten.

Das dieses immer wieder von den Vertretern der "Du musst-hier-escapen-Fraktion" ignoriert wird wirkt doch recht zielorientiert.

Wieso nur wird - mit erstaunlicher Beharrlich - ignoriert, dass ich tatsächlich schrieb:

oder gleich:

header('Location:http://www.example.com/test.php?datum='.date('Y-m-d'));

exit;

  

> > Ich hätte kein Problem damit, wenn irgendwer geschrieben hätte, dass diese Variante hinsichtlich möglicher, künftiger Änderungen sicherer ist.  
  

> Hatte ich geschrieben.  
  
[Nein](https://forum.selfhtml.org/?t=213947&m=1463424).  
  

> > Im übrigen vermute ich, dass das Skript gar nicht mehr als diese Zeile(n) enthalten wird.  
>   
> Das ist irrelevant. Es geht darum, als Vorbildfunktion die Anwendung von kontextgerechtem Escaping darzustellen.  
  
Ganz ehrlich: Ich denke, ich habe gute Gründe das [letzten Endes!] geforderte ...  
  
`header('Location:http://www.example.com/test.php?datum='.rawurlencode(date('Y-m-d')));exit;`{:.language-php}  
  
... für absurd zu halten. Das gilt auch für die "quasipädagogische" Argumentation, wonach die fragenden zum sicheren Handling von Daten aufgefordert werden sollen.  
  
Ich habe je durchaus Respekt und Verständnis vor Deiner Position - aber ich bleibe [im vorliegenden!] Fall bei der meinen. In anderen Fällen bin - wenn ich früh genug komme - definitiv auch ein Vorbeter der "Dein Zeug ist unsicher: Beachte den Kontextwechsel, escape möglicht nahe der Verwendung von Fremddaten" - Fraktion.  
  
[Jörg Reinholz](http://www.fastix.org/)