Hallo
Hello,
das haben wir (mit Dir zusammen) vor ca. 16 bis 18 Jahren schon einmal diskutiert. Und ich vertrat damals die Ansicht, dass
SCRIPT_NAME
gegeüberPHP_SELF
da sicher sei. Soweit ich mich erinnere, hast Du mich damals eines Besseren belehrt, dass u.U. noch eine Restlücke bleibt. Es ging dabei um JS, Path_Info und die Parameter.
Ich bin mir nicht bewusst, irgendwann einmal für PHP_SELF statt SCRIPT_NAME agitiert zu haben. Aber was weiß ich, was ich vor Urzeiten geschrieben habe.
Mit Sicherheit als solcher hat das ja auch relativ wenig zu tun, eher mit Privacy. Der Aufhängepunkt ist der Inhalt der Variablen, also ihre Mitteilsamkeit in Bezug auf URL-Parameter, die in PHP_SELF drin sind, in SCRIPT_NAME aber nicht. Und da diese Elemente gern direkt für die Ausgabe und eben nicht (nur) für die Datenverarbeitung benutzt werden, wo dann eventuell mehr drin steht, als gut ist …
Tschö, Auge
PS, *btw* und off topic: Der Sommer beginnt. In Sankt Peter Ording wird laut einer gerade eben gehörten Radiomeldung gerade damit begonnen, die Strandkörbe dahin zu schaffen, wo sie ihrem Namen nach hingehören.
Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
Hohle Köpfe von Terry Pratchett