Hello,

man hört ja in Bezug auf die $_SERVER-Variablen immer wieder, dass diese vom User manipulierbar sind und dadurch eine Gefahr besteht, ganz besonders bei PHP_SELF.

Diese Gefahr liegt eigentlich nicht auf der Server-Seite, sondern auf der Client-Seite.
Der Server wird hier nur als "Zwischenwirt" benutzt und dazu missbraucht, den Pfade, den er in der URi mitgeteilt wird unreflektiert wieder ins Action-Attribut eines Formulares aufzunehmen. Den eigentlichen Fehler (also die "Infektion") setzt dann erst der Client in schädliches Verhalten um, denn dieser postet ("gettet") dann die gutwillig eingegebenen Daten an eine manipulierte URi.

Der Server kann hier nur in soweit abgesichert werden, dass er eben nicht die "Zwischenwirt-Funktion" einnimmt, sondern bei der infizierten URi seine "Heilmethoden" wirken lässt.

Als Selfer rufe ich daher: "BIO tio kum"  Bio, Du sei mit uns (gaaanz frei interpretiert).

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg