Hi!

Wenn Daten in $_POST, $_GET, $_REQUEST, $_COOKIE, stehen, dann weiß ich: Dies sind Nutzereingaben, also potentiell vergiftet und ich muss (mindestens) diese vor der Verwendung behandeln um schädliche Handlungen irgendwelcher Benutzer zu verhindern.

Es sind prinzipiell alle Daten zu behandeln. Daten aus einem DBMS wären erst einmal keine Benutzerdaten. Wenn sie früher mal welche waren, sieht man es ihnen auch nicht an. Das "man kann sehen, dass es Benutzerdaten sind und deshalb weiß man, dass sie gefährlich sind" mit der daraus resultierenden Gegenschluss "alles andere ist sicher" wäre ein Trugschluss. Jedes (String-)Datum kann Zeichen enthalten, die in bestimmten Kontexten Sonderbedeutung haben und sollte unabhängig von seiner Herkunft behandelt werden.

Das Herkunftsargument zieht also nicht, jedenfalls nicht aus Sicherheitsgründen.

Lo!