Tach!

ja, hab grad json_decode() ausprobiert und funktioniert. gibt es da sicherheitsbedenken?

Das Problem kommt ja dadurch zustande, wenn Daten in Code eingefügt werden sollen und man einem Code-Parser vorgaukeln kann, dass die Daten vorzeitig zu Ende sind und danach Code folgt. Ein Parser, der lediglich Daten liest und sie in einer anderen Form bereitstellt, hat diese Probleme nicht. (Er kann jedoch Programmierfehler enthalten, die man mit einer bestimmten Datenanordnung ausnutzen kann. Aber dagegen kannst du ans Anwender nichts weiter tun, als regelmäßig Fehlerkorrekturen des Anbieters zu installieren und zu hoffen.) json_decode() kann also als sicher betrachtet werden, oder vielleicht besser gesagt als vertrauenswürdig, bis Probleme bekannt werden. Erst wenn du die Daten in anderen Code einfügen möchtest, hast du wieder ein potentielles Problem, wenn du den Kontextwechsel nicht ausreichend berücksichtigst.

dedlfix.