Sorry, das kommt davon, wenn man Zitiertes hin- und herschiebt …net(t)worker hat geschrieben:wenn du schon phpcode von mir zitierst, dann bitteschön auch richtig...
Nichtsdestrotz:
Das habe ich nicht bestritten. Aber die Gültigkeit kann man auch in $_POST prüfen und ein leicht korrigierter Wert lässt sich auch in $_POST ablegen (alles andere sollte eh gleich wieder ausgespuckt werden) - weder für das eine, noch für das andere braucht es eine Doppelgängervariable.wie ich bereits weiter oben ausführte wäre es immer sinnvoll alle externen Variablen auch zu validieren, also auf gültige Werte zu prüfen...Mork vom Ork hat geschrieben: - Das Grundproblem löst es nicht (wozu die ganzen Variablen, wenn alles fein säuberlich in $_POST steht).
Gerade Daten, die aus unsicheren Quellen stammen (wie eben $_POST), sind immer mit Vorsicht zu behandeln, auch nach einer allgemeinen Gültigkeitsprüfung, weshalb ein praktisch unveränderter Wert meiner Meinung nach auch da gelassen werden sollte, wo er herkommt. Mit dieser Von-einem-Eimerchen-ins-andere-Methode wird nur die Herkunft verschleiert. Wenn ich ein fremdes Skript sehe, sagt mir $s1 erstmal gar nix, bei $_POST["s1"] leuchten hingegen sofort, ohne weitere Nachforschungen, alle Warnlampen von htmlspecialchars() bis mysql_real_escape_string().vor allem wenn später irgendjemand anderes das script erweitern muss...
Aber das führt jetzt ins Philosophische …
