Hi,

Inwieweit soll eine Variable die im $HTTP_*-Array liegt sicherer sein, als die selbe Variable die ausserhalb dieses Arrays im globalen Scope liegt?

wenn man nur von URL-Parametern (gleich ob GET oder POST) ausgeht, besteht die größte Gefahr darin, dass man durch eigens deklarierte Variablen Werte überschreitet - das hat man unter Kontrolle. Die Gefahr bei PHP liegt aber darin, dass der globale Scope mit dynamischen Variablennamen aus _mehreren_ Quellen gefüllt wird - dadurch sind Überschneidungen und ergo bewusste Manipulationen von außen kein Problem. Insbesondere das Environment kann problemlos reinfunken; bzw. in es reingefunkt werden.

Man sollte "magische" Variablen ausschließlich dann verwenden, wenn deren Name von Anfang an definitiv bekannt war, und wenn sie durch nichts fremdes (=von außerhalb des Codes) überschrieben werden _können_.

(Bloss das beim globalen Zugriff eben nicht diese doofe Unterscheidung zwischen GET und POST nötig ist)

Ja; ein weiteres nur mäßig durchdachtes Detail von PHP.

Cheatah