id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
1811	urldecode() auf GET-Parameter	noRiddle	somebody	"Es wird auch in der aktuellen Shop-Version 2.0.5.1 immer noch ''urldecode()'' auf GET-Parameter angewendet (z.B. in der ''/advanced_seacrh_result.php'').
Dazu sagt das Manual eindeutig:

""
`WarnungDie Superglobals $_GET und $_REQUEST sind bereits dekodiert. Die Verwendung von urldecode() mit Elementen von $_GET oder $_REQUEST kann daher zu unerwarteten und gefährlichen Resultaten führen.`
""

Das Thema wurde schon mehrfach im Forum angesprochen (u.A. von meiner Wenigkeit, auch im Experten-Forum, von ''Bonsai'' und von ''hpzeller''), ist dann aber wohl untergegangen.

Da bislang auch mit den diversen ''urldecode() ''auf'' GET''-Parameter nichts aufgefallen ist bei Shop-Betrieb kann man das Thema vielleicht nach hinten schieben.

Die Aussage im PHP-Manual bzgl. ""unerwartet"" und ""gefährlich"" ist ja auch nicht besonders informativ. Allerdings steht wohl fest, daß GET-Parameter bereits automatisch dekodiert sind.

Gruß,
noRiddle"	Bug/Fehler	closed	normal	modified-shop-2.0.8.0	Shop	2.0.5.1	fixed