• Requestparameter sind tainted!
• Und auch Konfigurationsdateien!

Ich sags mal so:

Das ist die Herangehensweise von [Perl -tT].

Tainted hat nichts mit perl -t zu tun. Im Übrigen ist auch der Domänenname (HOST, SERVER_NAME) tainted, spätestens seit es Punycode und Umlautdomänen gibt. in der C't gabs neulich erst einen Artikel darüber.

Bei den Konfigurationsdateien würde ich sehr stark zu einer Einzelfallbetrachtung neigen. Immerhin darf da ja nicht jeder mal eben was reinschreiben weil es so lustige Auswirkungen hat. Und wenn man selbst diese stets als vergiftet zu betrachten hat, dann kann man ihnen auch nicht trauen und ergo macht die gesamte Konfiguration dann keinen Sinn mehr…

Nun, Vertrauen und Prüfen sind bekanntlich 2 verschiedene Dings.

• und alle übrigen Parameter die der Webserver als Umgebungsvariablen bereitstellt ($_SERVER)

Das kommt doch wohl stark auf die Items an. Wenn z.B. in S_SERVER['REQUEST_TIME'] etwas anderes als ein Integer mit den Sekunden seit dem 1.1.1970 00:00:00 auftaucht, dann hat man regelmäßig ein ganz anderes Problem...

Wie gesagt, HTTP kennt keine Integer.

MFG