Hallo Felix,

danke für den Post. Aber ganz ehrlich, das Einzige, was man dem kleinen Code-Schnipsel vorwerfen kann, ist die fehlende Information/inline Kommentierung, was welche Variable beinhaltet bzw. bezweckt. Und FeFe schreibt auch viel Unsinn, wenn der Tag lang ist.

Ohne einen genauen Überblick zu haben, an welcher Stelle und Pipeline in der Architektur dieses Stück Code sitzt, ist es irgendwie sinnfrei über Sicherheit zu diskutieren. Ich habe mir mal den Originalpost durchgelesen, die gewichtigen Fehler werden da an ganz anderer Stelle gemacht.

Das man Request-Headern nicht blind vertrauen darf, sollte bekannt sein. Aber der hier aufgeführte Code hat wohl nicht die Aufgabe, dafür Sorge zu tragen. Und PHP ist eine ziemlich blöde Idee für ein Backend (meine persönliche Meinung).

Die Kernbotschaft ist doch eigentlich stets die Gleiche: Beachte, ob man den Inputdaten vertrauen kann, wenn nicht, dannn müssen die Daten zuvor ausreichend validiert werden. Was "ausreichende" Validierung bedeutet, ist davon abhängig, an welcher Stelle in der Architektur der Code abgearbeitet wird.

Und entgegen FeFe, sollten Usernamen tatsächlich eine bestimmte Länge nicht überschreiten. Aber das ist eben nur ein Teil der Validierung.

Gruss Michael