Hello,

Ist es irgendwie schädlich oder falsch, wenn man Variablenwerte in JS immer in "" einschließt?

Hat das denn jemand behauptet?

Weiß ich nicht. Ich habe jedenfalls danach gefragt, weil das Beispiel mit dem XSS dann nämlich noch nicht funktioniert hätte. Da hätte noch das führende doppelte Anführungszeichen gefehlt, um den aktuellen String abzuschließen, in den die Attacke eingeschleust wurde.

Die Idee dahinter war eigentlich nur, für mich herauszufinden, welche Codes minimalistisch ersetzt werden müssten, damit es nicht kracht. Wie Du schon richtig sagst: man will den Stream ja nicht unnötig aufblasen, indem man alle Ein-Byte-Werte durch Sechs-Byte-Zeichenketten ersetzt.

Ich gehe aber davon aus, dass _das_ dann sicher wäre(?).

Und mir geht es auch darum, in PHP nicht zuviel Overhead zu erzeugen. Wenn man durch eine einfache Replace-Funktion für Sicherheit sorgen kann, muss man ja nicht ein Monster-Modul hinzuladen...
(siehe Tamis Vorschlag).

Strings in JavaScript kann man in " oder ' einschließen, das sagte ich bereits.

Mit Zahlenwerten funktioniert das doch auch. Oder habe ich da einen Spezialfall erwischt?
Ich habe mir dazu das Beispiel aus http://de.selfhtml.org/javascript/sprache/variablen.htm umgebaut und alle numerischen Werte auch in "" verpackt.

JSON verwendet immer Double-Quotes als Stringbegrenzer, erlaubt keine Single-Quotes.

Jo, so langsam kommt doch der Bodenkontakt wieder.

Das mit der "Gleichzeitigkeit" beim Auflösen mag ich aber noch nicht so hinnehmen. Oder arbeiten die Browser beim Parsen schon mit Multithreading? Dann müsste man Prioritäten festlegen können! Sonst könnt es Deadlocks geben.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg