@karma4 We leren de geldende principes via een kapstok taal, meest Java, en dat leert dat alles overal op kan draaien en code kan veilig of onveilig zijn. Wie iets anders beweert mist het inzicht, hoe het zit en werkt. Even voorbeeldje uit de dagelijkse praktijk van een intentionele malware site met slecht geconfigureerd Word Press, maar wel met een strict geconfigureerde sri hash same origin policy, dus malcreanten die weten wat er slecht moet blijven op een voor hen veilige manier. Ja echte circusartiesten zijn het en nooit in de eigen achtertuin, geobfusceerd javascript injectie malware is de name of the game, phishing voor duistere trackers (ja ook Amazon en Haliburton bijvoorbeeld tracken via zulke website links). En wat denk je dan van de CMS en de bijbehorende kwetsbaarheden daar en uit te voeren exploits (want we updaten en patchen niet allemaal toch?). Wat denk je verder van een PHP collectie als comment-template.php; comment.php; compat.php; cron.php, (goed voor een unrestricted Cron ...