Guten Tag,

Hier empfiehlt sich also HTTP_HOST als Alternative.

Das sind zwar Daten vom User, aber wenn der Inhalt nicht korrekt wäre,
würde der Request gar nicht erst ankommen ...

Das stimmt nicht. Der Apache (2.x) verwendet den ersten VHost, wenn kein Vhost gefunden werden kann, dessen ServerName- oder -Alias-Direktive mit dem Host-Header korrespondiert. Man kann also den Host-Header durchaus dazu verwenden, gefährliche Inhalte zu übergeben.

Merke: Jeder Input vom User ist zu prüfen, ggf. abzulehnen und auf keinen Fall zu reparieren.

Gruß
Christoph Jeschke