Hallo

Hello,

das haben wir (mit Dir zusammen) vor ca. 16 bis 18 Jahren schon einmal diskutiert. Und ich vertrat damals die Ansicht, dass SCRIPT_NAME gegeüber PHP_SELF da sicher sei. Soweit ich mich erinnere, hast Du mich damals eines Besseren belehrt, dass u.U. noch eine Restlücke bleibt. Es ging dabei um JS, Path_Info und die Parameter.

Ich bin mir nicht bewusst, irgendwann einmal für PHP_SELF statt SCRIPT_NAME agitiert zu haben. Aber was weiß ich, was ich vor Urzeiten geschrieben habe.

Mit Sicherheit als solcher hat das ja auch relativ wenig zu tun, eher mit Privacy. Der Aufhängepunkt ist der Inhalt der Variablen, also ihre Mitteilsamkeit in Bezug auf URL-Parameter, die in PHP_SELF drin sind, in SCRIPT_NAME aber nicht. Und da diese Elemente gern direkt für die Ausgabe und eben nicht (nur) für die Datenverarbeitung benutzt werden, wo dann eventuell mehr drin steht, als gut ist …

Tschö, Auge

PS, *btw* und off topic: Der Sommer beginnt. In Sankt Peter Ording wird laut einer gerade eben gehörten Radiomeldung gerade damit begonnen, die Strandkörbe dahin zu schaffen, wo sie ihrem Namen nach hingehören.