Hallo,

man hört ja in Bezug auf die $_SERVER-Variablen immer wieder, dass diese vom User manipulierbar sind und dadurch eine Gefahr besteht, ganz besonders bei PHP_SELF.

Wenn ich nun, wie nei php.net im Beispiel, eine absolute URI basteln möchte, für Location, dann verlasse ich mich hier mindesten auf HTTP_HOST und PHP_SELF.

PHP_SELF wird bei mir intern mit dirname, und explode, von links nach rechts auf plausibilität und vorhandensein geprüft, sollte also danach nichtmehr gefährlich sein.
Aber wie kann ich mich auf HTTP_HOST verlassen, was ist hier Gefährlich?
Möchte nur, um den absoluten URI zu basteln subdomain.example.com erhalten.

Gruß