Hello,

Da gibts jede Menge, die per CLI andere Inhalte haben, als per http/s.

Das ist mir klar.

Manipulieren kann man einige davon per .htaccess-Datei, aber nicht alle.

Mir gehts nicht um eine Manipulation per .htaccess, mir gehts darum, ob jemand per Aufruf im Browser (oder wget, curl ...) diese Variablen beeinflussen kann.

Das habe ich schon verstanden.
Wenn der normale Nutzer keinen Schreibzugriff auf die DocRoot hat, und die .htacess entsprechend geschützt ist (sie sollte nur von Root änderbar sein!), dann besteht aus dieser Ecke keine Gefahr. Die Variablen möcte ich mal so aus dem Bauch heraus in drei Klassen einteilen:

* nur vorhanden, wenn Request per http/s stattfand
* * teilweise abhängig von Clienteinstellungen, also manipulierbar

* immer vorhanden und "sicher"

* immer vorhanden und vielleicht unsicher

Lass Dir mal das $_SERVER-Array ausgeben per CLI. Musst Du vermutlich in eine Datei schreiben lassen. Per Browser ist es zu umständlich, da CLI ja keine Header produziert.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg