Liebes Forum

Ich habe gerade mal etwas mit PHP-authentifizierung gespielt, und da ist mir etwas aufgefallen: Wenn ich nach der Existenz von $PHP_AUTH_USER abfrage, dann reicht es, im Get-String ?PHP_AUTH_USER=TRUE zu schreiben, und schon kommt man rein. Ist eigentlich auch nicht verwunderlich. Doch dann habe ich statt dessen $_SERVER['PHP_AUTH_USER'] abgefragt, und der Get-String ?_SERVER[PHP_SUTH_USER]=TRUE hat wieder das gleiche Ergebnis gebracht.
Wohlgemerkt, ich habe keine Daten überprüft, also irgendwas in die Passworteingabe zu schreiben, hätte auch zu diesem Ergebnis geführt, aber ich frage mich nun, in wie weit denn $_SERVER oder $_POST oder $HTTP_ Variablen grundsätzlich sicher sind, wenn ich sie einfach in den Get string eingeben kann.

Die Antwort ist natürlich: Wenn register-globals ausgeschaltet ist, dann geht es wohl nicht, oder? Bei meinem Proider ist es aber - trotz PHP 4.2.3 - aktiviert. Gibt es denn eine Möglichkeit, es selbst zu deaktivieren? Oder eine andere Möglichkeit, mir sicher zu sein, daß $_SERVER wirklich vom Server kommt?

Danke

Heizer