Hi,

Jetzt hatte ich die Idee statt der Domain einfach <?php echo $_SERVER['SERVER_NAME']; ?> zu schreiben. Ist das sicher oder kann da mit XSS (wie bei $_SERVER['PHP_SELF']) was gemacht werden?

Nein. Aber es ist dennoch ggf. ungeschickt, SERVER_NAME zu verwenden. Grund: SERVER_NAME ist vom Administrator konfigurierbar. Zwar ist *normalerweise* dort der wirkliche Servername enthalten (das ist beim Apache voreingestellt), aber z.B. der Hosenjodler, der bei 1&1 die Shared-Server (bzw. die Konfigurationssoftware) konfiguriert hat, hat dort wohl einen festen Wert eingetragen. D.h., bei einem Request von einem 1&1-Server www.example.com, steht in SERVER_NAME nur example.com.

Hier empfiehlt sich also HTTP_HOST als Alternative.

Das sind zwar Daten vom User, aber wenn der Inhalt nicht korrekt wäre, würde der Request gar nicht erst ankommen ...

Gruß, Cybaer