Hi,

Das Problem sind nicht die Variablen, von denen du erwartest, dass sie per Post/Get kommen, sondern alle anderen. In PHP ist es möglich Variablen ohne vorherige Initialisierung zu verwenden. Ist dies der Fall, so kann jemand durch Modifizieren der URL dir ungünstige Werte in diese Variablen einbringen.

Oder anders Ausgedrückt: mit register_globals muss *absolut jede* Variable als potentiell gefährlich betrachtet werden.

Hmm, aber muß ich die Variablen nicht in meinem Script verarbeiten damit sie gefährlich werden?
also es kann doch nur gefährlich sein was angesprochen wird, also z.B.
"?a=inhalt&b=3&c=action";

<script>
<?php

mache was mit $a;

mache was mit $b;

mache was mit $c;
?>

wenn dann eine Variable angehängt wird, die keinen Sinn macht weil
im Script nicht vorkommend also z.B. "?d=fremdeingabe";
aber $d wird im Script nicht angesprochen - passiert doch auch nichts, oder?

Grüße,
Moses