Morgen,

Auf das man es an einer Stelle vergisst... Jede Eingabe von einem Benutzer ist potentiell gefährlich

ja, aber doch immer nur gefährlich für einen bestimmten Anwendungsfall. Darum unterscheidet sich doch die Art und Weise, wie man diese Daten "entschärfen" muss, abhängig von der Anwendung.

Sicherlich. Aber mir fällt gerade keine Stelle ein, wo ich Daten aus einem Formularfeld, sprich $_POST variablen nicht hinterher in ein SQL statement packe. Ich wüsste auch nicht wofür ich sonst ein Formularfeld brauche um nicht damit meine Datenbank zu füttern.

Es ist zum Beispiel nutzlos, Gläser in Watte zu packen, wenn sie danach durch einen Hochofen geschoben werden sollen; da wäre eine hitzefeste Verpackung sinnvoller.

Stimmt, außer man möchte eine Graphen Schicht auf dem Glas um sie elektrisch Leitfähig zu machen. Jedenfalls wenn die Temperatur im Hochofen nicht höher als ~1650K beträgt. Wenn man jedoch auf eine Glasschmelze aus ist dann sollte es schon noch ein wenig heißer sein. Da findet sich doch bestimmt irgendwo ein Anwednungsbereich für Graphen verstärktes Glas. Und ab 3900K wirds richtig Lustig, da schmilzt sogar das Graphen und es bildet sich ein Verbund aus Glas und Graphen schmelze, wo da wohl das Eutektikum liegt? Hm, aber das gehört hier wohl nicht wirklich her...

darum muss man das ja machen. Und warum dann nicht Zentral für alles was ankommt?

Ja, aber doch nicht einfach blind und pauschal nach den Regeln von SQL. Die Regeln, nach denen man Daten maskieren, codieren oder escapen muss, damit sie keinen Schaden anrichten, entscheiden sich doch immer danach, in welchen Kontext man diese Daten einbringt. Und auch erst an dieser Stelle.

Wie gesagt ist mir garkein anderer Anwendungsbereich bekannt, wohl weil ich einen anderen noch garnicht im Sinn hatte.

Ich weiß eure Anregungen wirklich zu schätzen aber soweit bin ich wohl einfach noch nicht. Trotzdem Danke!

Gruß Jo