Das kann ja wohl kein Grund sein, keine Konfigurationsdatei zu verwenden.

Also soll der Programmierer immer eine .ini benutzen anstatt einer .php,nur weil "man es einfach so macht"?

kannst du bitte aufhören, mir dinge in den mund zu legen, die ich nie gesagt habe?
ich habe nirgendwo gesagt, man muss immer eine .ini verwenden.
wenn dann stammt diese aussage von hotti.
(im übrigen redete er von konfigurationsdateien.
ist das so in der PHP-welt, dass man da immer gleich an .ini denkt? nur so nebenbei gefragt. oder gibts auch yaml?)

ich sage nur: wenn die sorge davor, dass eine config-datei über den webserver auslesbar sein könnte, der grund ist, auf configs zu verzichten bzw. davor zu warnen, dann hast du mein mitleid.

Configs gehören nicht ins document root.

Und auch hier gibt es Server, die das nicht zulassen. Da nimmst du das Sicherheitsloch dann einfach in kauf, ist ja nicht dein Problem, oder?

Was hast du denn gefrühstückt? Ich nehme überhaupt kein Sicherheitsloch in Kauf.

Vielleicht bin ich altmodisch, aber ich bin der Meinung, Software sollte auf möglichst vielen Serverkonfigurationen ohne Änderungen lauffähig sein. Und dass das ohne solchen Sicherheitslücken klappt, beweisen viele Programmierer.

Und das das auch *mit* vielen Sicherheitslücken *nicht* klappt, beweisen leider auch sehr viele Programmierer. Die meisten Sicherheitslücken, dir mir so begegnen, sind aber sql-injections und XSS.

Wenn du und Hotti das anders sehen, ist das ganz allein eure Sache,

für dich gibt es offenbar nur schwarz und weiss. alle in einen topf werfen, die dir irgendwas entgegnen.

auf jeden Fall würde ich von euch nichts machen lassen, denn aus Prinzip ein Sicherheitsloch zuzlassen ist ein absolutes NoGo für einen Programmierer.

aha, ich bin also jemand, der aus prinzip ein Sicherheitsloch zulässt. Das schliesst du aus meinen Aussagen in diesem Thread.

Ganz ehrlich, ich würde auch nie was von dir "machen lassen".
Ernsthafte Dinge hostet man nicht auf Billig-Servern, in denen alles im doc root liegen muss.

Falls man sich aus irgendeinem Grund mal mit solchen Begebenheiten rumschlagen muss, tut man das, was in der Situation notwendig ist.

Ich halte nichts davon, zu generalisieren. Weil ein Skript laut deiner Aussage ohne jegliche Änderung auf allen erdenklichen Servern laufen sollte, sollte man auf Configs verzichten, weil die Möglichkeit besteht, dass es Server gibt, auf denen configs über HTTP auslesbar sind.
Das kann doch nicht ernsthaft eine Leitlinie zum Programmieren sein.