• Requestparameter sind tainted!
• Und auch Konfigurationsdateien!

Ich sags mal so:

Das ist die Herangehensweise von [Perl -tT]. Bei den Konfigurationsdateien würde ich sehr stark zu einer Einzelfallbetrachtung neigen. Immerhin darf da ja nicht jeder mal eben was reinschreiben weil es so lustige Auswirkungen hat. Und wenn man selbst diese stets als vergiftet zu betrachten hat, dann kann man ihnen auch nicht trauen und ergo macht die gesamte Konfiguration dann keinen Sinn mehr…

• und alle übrigen Parameter die der Webserver als Umgebungsvariablen bereitstellt ($_SERVER)

Das kommt doch wohl stark auf die Items an. Wenn z.B. in S_SERVER['REQUEST_TIME'] etwas anderes als ein Integer mit den Sekunden seit dem 1.1.1970 00:00:00 auftaucht, dann hat man regelmäßig ein ganz anderes Problem...