Hallo Felix,

ich glaube, Du hast mich missverstanden. Mir ging es nicht um schräge Elementnamen in HTML, mir ging es um auf anderem Wege erzeugte POST-Requests, in denen präparierte Namen für zusätzliche Array-Schlüssel enthalten sind. Einfach um das Ziel-Array mit zusätzlichen Werten zu befüllen.

und was soll dann passieren - außer dass ein paar Bytes unnütz übermittelt werden?

Wenn Parameter übertragen werden, die die Ziel-Applikation nicht kennt, fragt sie auch nicht danach. Folglich werden diese Request-Parameter einfach ignoriert.

Es gilt nach wie vor die Grundregel, dass gesendete Daten kritisch zu prüfen sind.

Völlig klar. Aber willst du andeuten, dass man auch abprüfen sollte, ob zusätzliche, unbekannte Parameter angekommen sind?

Mein Punkt ist, dass man ja ohnehin kritisch prüft und dabei die vorhandenen Daten anhand einer vorgegebenen Struktur abnehmen sollte, anstatt sich auf den PHP-Mechanismus zu verlassen. Dann kann man es auch gleich so machen, wie ich beschrieben habe.

Kann man natürlich. Aber mir erschließt sich der Sinn nicht.

Schönen Abend noch,
 Martin