Tach!

Ich bin stillschweigend davon ausgegangen, dass im System sichergestellt ist, dass in $product['maxQuantity'] ein Zahlenwert steht. Und dass $messages so gepflegt wird, dass kein Bösewicht da Schadcode reinschreiben kann. Ja, spätestens, wenn da noch ein CMS dranhängt, ist das nicht die sicherste Annahme.

Mit Schadcode ist das so ähnlich wie mit den Sonderzeichen. Nicht die Absicht oder die Annahme einzelner Personen zählt, sondern der Kontext. Auch in Daten, die nach landläufiger Meinung kein Schadecode sind, kommen regulär Zeichen vor, die Schaden anrichten können (kaputte Ausgabe zum Beispiel), wenn man sie nicht beachtet. Bei Zahlen, bei denen das sichergestellt ist, mag das Einfügen problemlos sein. Bei anderem Text sollte man nicht davon ausgehen, dass er frei von Sonderzeichen ist. Vor allem dann nicht, wenn am Anfang der Verarbeitungskette eine Eingabe erfolgte. Selbst vertrauenswürdige Personen erinnern sich nicht in jedem Fall daran, dass man da keine Anführungszeichen eingeben darf, wenn hintenraus kein Unfall entstehen soll. - Wie die Daten aber nun konkret ins System gelangt sind, ist bei der Ausgabe nebensächlich. Solange keine Sonderzeichenfreiheit garantiert werden kann, muss die kontextgerechte Maskierung erfolgen.

dedlfix.