Grundsätzlich (mal wieder) schön auf den Punkt gebracht. Aber:

Hab ich doch auch schon so oft gesagt: Es kommt nicht auf die Herkunft an! Man muss bei jeglichen Daten den Ausgabekontext berücksichtigen. Ob es "fremde" Daten sind oder eigene, muss und darf dabei nicht unterschieden werden.

In Ausnahmefällen kann die Unterscheidung nach "fremde / eigene Daten" nötig sein. Z.B. wenn ein Inhalt aus einem CMS (gepflegt durch Backend-Redakteure) kommt, will man evtl. HTML ausgeben. Kommt der Inhalt aus einem Kommantarfeld eines profanen Users, will man mituntender doch stupide escapen.

Auch ist das Ziel nicht allein das Verhindern von Schadcodeeinschleusung, sondern dass die Daten generell den Regeln gemäß und damit wie gewünscht in den Ausgabekontext eingebettet werden. Dass Schadcode keine Auswirkungen hat, wenn er wie sämtliche andere Daten auch behandelt wird, ist dabei quasi eine (erwünschte) Nebenwirkung.

ACK.

@@Sara

es geht hier nicht um eine Ausgabe wie im Ausgangsposting sehen kannst, sondern um eine Datenbankabfrage bzw. um das Füllen von einer Variable. Daher ist diese Bemerkung von dir an dieser Stelle völlig unnötig.

Zum einen war die Bemerkung nicht von mir, sondern von Matthias. Ich hab sie lediglich präsiziert.

Zum anderen war sie ein Hinweis darauf, was du später mit deiner befüllten Variablen machst. Wenn du an späterer Stelle echo $tagesPreis; im Code hast, könntest du das Problem vielleicht übersehen.

Das soll nicht heißen, dass du gleich $tagesPreis = htmlspecialchars($_POST['tagesPreis']); schreiben solltest; sondern später dann eben echo htmlspecialchars($tagesPreis);.

Und die Beurteilung, welche Bemerkung an welcher Stelle nötig ist, überlässt du bitte denen, die Ahnung von dem Kram haben.

Auch ist deine Aussage falsch wenn man möchte, dass Code vom User ausgeführt wird, solche Anwendungen gibt es zu genüge!

Was dedlfix sagte.

Und man möchte nie, dass jedweder Code vom User ausgeführt wird.

Eingeschleustes JavaScript ganz sicher nicht. <script> käme auf die Blacklist der Dinge, die man abfangen muss.

Oder besser man führt eine Whitelist der Dinge, die erlaubt sind. Das muss auch kein HTML-Code sein. Wenn man Nutzer Formatierungen erlauben will, bietet sich auch BB-Code oder Markdown an.

Ein Beispiel, ich bekomme von unserem Lieferanten Daten die auch HTML Code beinhalten, wenn ich diesen durch htmlspecialchars laufen lassen würde, hätte ich eine verfälschte Ausgabe und wäre sofort meine Lizenz los und müsste mit einer Klage rechnen.

Und wenn du den Code vom Lieferanten unbehandelt ausgibst und damit Sicherheitslöcher aufreißt, wärst du sofort deine Lizenz los und müsstest mit einer Klage rechnen.

Du fügst aber nicht die Daten von deinem Lieferanten unbehandelt in deinen HTML-Code ein? Ich hoffe, ich habe dich falsch verstanden.

Allerdings kenne ich deine Beiträge und rege mich über solche Aussagen erst gar nicht auf.

Wenn du dir dir Mühe machst, meine Beiträge zu verstehen, hast du gar keinen Grund zur Aufregung.

LLAP 🖖

Finde ich nicht. Den Array-Zugriff $_POST['tagesPreis'] zu wiederholen ist langatmig und fehleranfällig. Wenn sich der Array-Schlüssel mal ändern sollte, oder wenn man den Code später über den Schlüssel verallgmeinern möchte, dann müssen sämtliche Zugriffe geändert werden.

Man kann da auch mit YAGNI argumentieren.

Kann man, meine Erfahrung ist allerdings, dass es sich lohnt in vorrauschauender Weise Abkürzungen im Quelltext zu platzieren. Man kann damit auch Mal daneben liegen, aber wo wäre dann dann der Nachteil gegenüber der sich selbst wiederholenden Variante?

Speichert man dagegen das Ergebnis direkt in einer Variablen, gibt es nur einen Punkt mit Änderungsbedarf.

Wenn man refakturiert, muss man zwangsläufig aufmerksam sein, auch wenn man sich das Leben (angeblich) vereinfacht hat. Wer sagt denn, dass sich nur der Feldbezeichner ändert und nicht stattdessen der Variablenname, oder gar beides? Ich halte das für kein allgemeingültiges Argument.

Zumindest ist es kein gutes Argument. Trotzdem halte ich es für besser Array- und Objekt-Zugriffe nicht zu wiederholen. Es ist sicher auch ein Stück weit persönliche Abwägungssache, doch je länger der Zugriffspfad wird, desto eher wird man wohl dazu tendieren eine Variable als Abkürzung verwenden. Ich denke niemand würde bspw. $foo->bar['baz']->lorem->ipsum['dolor']['sit']->amet() gerne häufig wiederholen müssen. Und dann hängt es natürlich auch davon ab, wie oft man die Zeile schreiben müsste. Ich folge da lieber dem DRY-Prinzip.

Außerdem sind PHPs assoziative Arrayzugriffe wegen des String-typisierten Schlüssels schon für sich anfällig für Tippfehler. Und das sind wirklich bösartige Fehler, weil PHP dann nicht sofort mit einem lauten Krach darauf aufmerksam macht, sondern versucht das "Beste" aus der Situation zu machen, so kann der Fehler lange unbemerkt bleiben und durch die Anwendung propagieren. Gut gemeint ist eben nicht gut gemacht.

Das passiert bei falsch geschriebenen (und damit nicht existenten) Variablen ebenso. In beiden Fällen gibt es nur eine Notice-Meldung. Und diese sind unterdrückt, wenn man sie nicht explizit freikonfiguriert.

Das stimmt, bei Variablen können einem allerdings Code-Quality-Werkzeuge und IDEs weiter entgegenkommen, weil Variablenbezeichner von statischer Code-Analyse erfasst werden können.

"Das "beste" aus dieser Situation" zu machen, ist schlicht die Rückgabe von null.

„I call it my billion-dollar mistake. It was the invention of the null reference in 1965.“ – Tony Hoare

Was du vermutlich meinst, ist das Weglassen der Anführungszeichen. Denn dann wird gutmütigerweise angenommen, man meine gar keine Konstante, wenn eine solche nicht existiert, sondern einen String.

Darauf wollte ich eigentlich nicht hinaus.

Außerdem sollte man tunlichst vermeiden PHPs $_POST-Array selber zu beschreiben. Der Schein trügt, dass es nur einen gerinfügigen Unterschied mache, ob ein $_POST-Element den leeren String enthält oder gar nicht gesetzt ist. Das zeigt dieser Fall sogar besonders deutlich: Array-Element nicht gesetzt bedeutet, dass die Checkbox nicht ausgewählt wurde. Array-Element gesetzt bedeutet, dass die Checkbox ausgewählt wurde, und zwar unabhängig vom Wert, der drin steht. Gegenteiliger könnte die Semantik kaum sein.

Dem kann man mit !empty() statt isset() abhelfen.

Mit empty() kannst du auf unterschiedliche falsy-Werte gleichzeitig testen, aber du kannst dadurch nicht die Semantik zurückgewinnen, dass eine Checkbox ausgewählt wurde, nachdem du das $_POST-Array selber beschrieben hast.

Tach!

Eine Konstruktion wie [...] lässt aber darauf schließen, dass nicht zwischen angehakt und nicht angehakt unterschieden werden soll. Das habe ich in meiner Antwort auch berücksichtigt. Wenn also auf fehlende Benutzereingaben reagiert werden muss, ist meine Variante nicht zielführend.

Beim ersten Satz verstehe ich nicht, was du damit sagen möchtest. Zum letzten wäre zu sagen, dass es weder eine Three-State-Checkbox in HTML gibt, noch dass man einen dritten Status auf Serverseite erkennen könnte. Die Checkbox sendet ihren value bei angeklickt und ist ansonsten gar nicht vorhanden. Man kann da nicht zwischen nicht angekreuzt und Nutzer hat gar nichts gemacht unterscheiden. Für solche Fälle kann man sich nur mit Radiobuttons behelfen.

dedlfix.

hi,

Solange man sich von Listen fernhält… (Kontext)

Ne, nicht fernhalten, sondern richtig damit umgehen!

Aber ansonsten sehe ich das mindestens genauso respektlos wie Du.