Hallo wahsaga

Damit wird die Seite aber anfällig für Cross Site Scripting/XSS - da der Client u.U. Möglichkeiten hat, den REQUEST_URI zu manipulieren.

OK, ich verstehe.

Wende also bitte noch htmlspecialchars() auf den Wert an, bevor du ihn in die Seite ausgibst.

Dann müsste es do so richtig sein:
<?php echo htmlspecialchars(strtoupper(substr($_SERVER['REQUEST_URI'],16,-4)), ENT_QUOTES); ?>

richtig?

Gruß
Ingo