Das kommt doch wohl stark auf die Items an. Wenn z.B. in S_SERVER['REQUEST_TIME'] etwas anderes als ein Integer mit den Sekunden seit dem 1.1.1970 00:00:00 auftaucht, dann hat man regelmäßig ein ganz anderes Problem...
Eben! Genau deswegen ist SERVER_TIME tainted und muss vor Verwendung geprüft werden.
Willst Du "Intrusion Detection" an der nutzlosesten Stelle betreiben oder was?
Wenn S_SERVER['REQUEST_TIME'] vergiftet ist, dann gibt es dafür nur drei Wege:
- PHP wurde vom Angreifer durch etwas anderes ersetzt.
- Die libc wurde vom Angreifer durch etwas anderes ersetzt.
- Der Kernel wurde vom Angreifer durch etwas anderes ersetzt.
Für all das braucht der Angreifer sehr umfassende Rechte. Das meinte ich mit „dann hat man regelmäßig ein ganz anderes Problem...“ - und ich vermute mal, dass ein Angreifer nicht unbedingt an der Uhr herumschraubt.