> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, … Nach einer Eingabe zwecks Login sollte man ihn also nur trimmen (wg. Copy & Paste - Fehlern), aber beim Anlegen strikter vorgehen: Aber nicht „sanieren“ sondern prüfen und ablehnen **und** die Eingabe ins HTML-Formular nicht zulassen.

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, … Nach einer Eingabe zwecks Login sollte man ihn also nur trimmen (wg. Copy & Paste - Fehlern), aber beim Anlegen strikter vorgehen: Aber nicht „sanieren“ sondern prüfen und ablehnen und die Eingabe ins HTML-Formular nicht zulassen.

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, … Nach einer Eingabe zwecks Login sollte man ihn also nur trimmen (wg. Copy & Paste - Fehlern), aber beim Anlegen strikter vorgehen.

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Das bedeutet: Aufwand, Fehlerquelle, …

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer (womöglich später genutzten) Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …

> und der Username entweder escaped oder, so wie bei Dir, als Argument an ein prepared statement gehängt. > Mehr nicht. Dagegen spricht, dass es verbreitete Regeln für Benutzernamen gibt ([kleine lateinische Buchstaben, Minus-Symbol und Ziffern, beginnt mit Buchstabe](https://serverfault.com/questions/73084/what-characters-should-i-use-or-not-use-in-usernames-on-linux)). Spätestens bei einer Fremdauthentifizierung (also nicht durch die eigenen Skripte) können beliebige Benutzernamen (Genauer: Login-Namen) also patzen. Man müsste dann „mappen“. Aufwand, Fehlerquelle, …