Und das ist eben das Fehlkonzept. Die "zentrale Stelle" kann nicht wissen, in welchem Kontext sie verwendet wird und was gefährlich ist und was nicht. CSRF zu verhindern ist weitaus mehr als irgendwelche Zeichen zu escapen. Man muss CSRF verstanden haben um CSRF zu vermeiden. Und das kann einem keine Funktion abnehmen, sondern dafür braucht es Hirn.
Dann zeig mir bitte die nativen PHP Funktionen zur Verhinderung von CSRF...
Du hast diese Dinge schlicht in der Praxis nie wirklich integriert, das merkt man daran dass du an Kontexten rumdenkst, darum gehts nicht im geringsten. Selbstverständlich ist es vernünftig alle diese Dinge an einer zentralen Stelle zusammenzuführen. Wo und in welchen Kontexten und Orten sie dann verwendet werden hat damit nichts zu tun.
Ich denke du willst einfach nur rumnörgeln weil du so gern Internet Mobbst und den Erfolg des Skripts aus ungeklärten Gründen verhindern willst. Du hast deinen Wunden Punkt in der Codierung gefunden und stocherst darin jetzt so lange rum, bis du mich endgültig defamiert hast und das Skript bestimmt jedem und allem abspenstig gemacht hast. Deswegen hast noch nicht die geringste Stellungnahme zur Innovativität oder den Features von dir gegeben.
Einen Großteil der notwendigen Escape-Funktionen liefert PHP übrigens bereits mit und sind auch gut dokumentiert. Es gibt hier kein Bedarf eigene Funktionen zu schreiben, außer für andere Spezialfälle, die PHP nicht abdeckt.
Kommentar