Quote

Dabei kann man, wen man der Quelle vertraut, auch mogeln und im regulären Ausdruck einfach alles von vorn bis hinten mit qr/(.*)/

Ja. Dann kann man diese Quatsch aber auch seinlassn. Im Übrigen muss man grundsätzlich alles validieren was von draußen reinkommt, das ist die eine Sache. Die andere Sache ist die, daß man von vornherein dafür sorgt diese Validierungen so einfach wie möglich zu machen. Beispielsweise so, daß in Sachen Webanwendungen für eine URL nur bestimmte und wenige(!) Schlüsselparameter zugelassen sind. Oder daß Klassennamen, Dateinamen und Funktionsnamen eben nicht als HTTP Parameter zulässig sind. Die Lösung für dieses Problem heißt Statisches Routing.

Also ich finde und das zeigt auch meine langjährige Erfahrung (immerhin habe ich 3 Frameworks entwickelt!), es sinnvoller sich mit og. grundsätzlichen Dingen zu befassen. Was auch dazu führt, selber zu Denken als das Denken anderen zu überlassen. Und auch dazu daß man Programmieren nicht als Kopieren von Entwurfsmustern versteht sondern als ein kreatives Handwerk.


MFG