Erik: Frage zu dirname($_SERVER['PHP_SELF'])

Beitrag lesen

Hallo!

$link='http://'.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']).'/'.'index.php';

Kleiner (Sicherheits-)Hinweis:
Nimm statt $_SERVER['HTTP_HOST'] lieber $_SERVER['SERVER_NAME'] und validiere und escape $_SERVER['PHP_SELF'].
Warum:
http://blog.phpdoc.info/archives/13-XSS-Woes.html

$_SERVER['HTTP_HOST'] gehört zu den Daten, die u.U. vom User manipuliert werden können. Wenn dann noch der Server schlecht konfiguriert (default-vhost) ist, kann ein Sicherheitsproblem entstehen. Ja, das ist eher selten, aber $man sollte sich nicht unbedingt darauf verlassen.

$_SERVER['SERVER_NAME'] stammt aus dem vhost und ist nicht durch den User manipulierbar IMHO.

MfG
Erik