Tach!

Die Filter-Funktionen erlauben Dir, Daten aus Superglobals zu validieren ohne sie direkt anzufassen. Über die Sanitizer kannst auch gleich rauswerfen, was nicht hineingehört. Wer diese Funktionen erfunden hat, glaubte wohl, dass man so das Risiko von vergifteten Daten mindert. Allerdings hat der Erfinder auch gleich FILTER_UNSAFE_RAW eingebaut, so dass sich mit Vorsatz weiterhin in den Fuß schießen kann.

Man muss die Superglobalen weiterhin direkt anfrassen, denn die Funktionen holen sich keine Daten, sondern erwarten sie als Parameter.

Es ist ein Irrtum, wenn man glaubt, dass man Daten allgemein sanieren kann, und dann sind sie sicher. Man hat dann das Prinzip nicht verstanden, warum bestimmte Zeichen in den Daten in bestimmten Situationen zu Unsicherheiten führen können, und in anderen Situationen wieder nicht, dafür aber wieder andere Zeichen. Die Funktionen sind ein Werkzeug, wie jedes andere Werkzeug auch. Man kann damit Dinge herstellen, oder kaputtmachen, je nachdem wie gut man seine Werkzeuge und ihre Einsatzmöglichkeiten kennt.

Die Erfindung der Funktionen wird wohl eher der Wunsch nach einem besseren Ersatz für das weggefallene Magic Quotes gewesen sein. Auch dieses hatte ein Ergebnis von wirksam bis kontraproduktiv.

Empfehlungen von IDEs sind zwar schön und gut und helfen üblicherweise, aber manchmal eben nicht. Blind folgen ist ähnlich sinnvoll wie anderen Ratschlägen, deren Sinn man nicht hinterfragt und verstanden hat.

dedlfix.