Hallo,

**selbstverständlich muss User-Input immer kontrolliert werden! ** Allerdings hängt das erforderliche Maßnahmenbündel immer vom Zielkontext der Daten ab!

Es gibt dazu einen Artikel, ursprünglich von Dedlfix, der schon die meisten Probleme aufzeigt.

Bezüglich Verwendung von User-Inputs als Dateinamen sollten zusätziche Überlegungen angestellt werden.

Einige davon kann man im Artikel zum Fileupload nachlesen. Den fand ich leider nur noch nach einiger Suche über Google wieder!(?)

Deine Frage ist also tasächlich provokativ und zeugt von wenig Recherchebemühungen im SelfHTML-Raum und in den Suchmaschinen :-(

Sollte deine Frage darauf gerichtet sein, ob die Sanitize-Funktionen von PHP sinnvoll sind, so mag ich nur antworten: Verlässliche Polymorphie ist hier nicht erkennbar; bau die notwendigen Kontextwechsel und Filter also lieber selber, denn sie sind immer vom ZIEL abhängig, und nicht von der Quelle!

Grüße Helmut