renee+2008-07-24 17:01:17--

Also nicht immer blind darauf vertrauen, dass Daten wirklich tainted sind.

Hmm, ich hätte schon gerne ein taintcheck bei print... grummel.

Für mich lohnen sich selten Templates, das sind oft nur Here-Docs mit Variableninterpolation die in Funktionen gekapselt werden.

Hab mal geschaut, CGI.pm realisiert mit Vars ein tied hash "params", da könnte man also auch ohne Performanceverlust alternativ genauso ein tied hash "escaped_params" basteln.

Zusätzlich könnte man eventuell über overloading von "" oder . ein "is_tainted check" bei Variableninterpolation erzwingen. (EDIT: naja wär aber Blödsinn wenns dann global gilt, statt nur für print)