Moin! > Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne. Nicht immer: ~~~php echo intval ($foo * $bar), " Ocken"; printf("%u Fliegen haben recht!...", $oneBillion); ~~~ > ~~~php > function printSanitized($output) > { > print htmlspecialchars($output); > } > ~~~ > > Richtig? Ich vermute mal Du wolltest so eine Antwort provozieren: Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ. Jörg Reinholz

Moin! > Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne. Nicht immer: ~~~php echo intval ($foo * $bar), " Ocken"; printf("%u Fliegen haben recht!...", $oneMilliarde); ~~~ > ~~~php > function printSanitized($output) > { > print htmlspecialchars($output); > } > ~~~ > > Richtig? Ich vermute mal Du wolltest so eine Antwort provozieren: Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ. Jörg Reinholz

Moin! > Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne. Nicht immer: ~~~php echo intval ($foo * $bar), " Ocken"; printf("%u Fliegen haben recht!...", ,1000000000); ~~~ > ~~~php > function printSanitized($output) > { > print htmlspecialchars($output); > } > ~~~ > > Richtig? Ich vermute mal Du wolltest so eine Antwort provozieren: Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ. Jörg Reinholz

Moin! > Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne. Nicht immer: ~~~php echo intval ($foo * $bar), " Ocken"; printf("%u Fliegen haben recht!...", ,100000); ~~~ > ~~~php > function printSanitized($output) > { > print htmlspecialchars($output); > } > ~~~ > > Richtig? Ich vermute mal Du wolltest so eine Antwort provozieren: Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ. Jörg Reinholz

Moin! > Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne. Nicht immer: ~~~php echo intval ($foo * $bar), " Ocken"; echo sprintf("%u Fliegen haben recht!...", ,100000); ~~~ > ~~~php > function printSanitized($output) > { > print htmlspecialchars($output); > } > ~~~ > > Richtig? Ich vermute mal Du wolltest so eine Antwort provozieren: Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ. Jörg Reinholz

Moin! > ~~~php > function printSanitized($output) > { > print htmlspecialchars($output); > } > ~~~ > > Richtig? Ich vermute mal Du wolltest so eine Antwort provozieren: Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ. Jörg Reinholz