Hallo

das haben wir (mit Dir zusammen) vor ca. 16 bis 18 Jahren schon einmal diskutiert. Und ich vertrat damals die Ansicht, dass SCRIPT_NAME gegeüber PHP_SELF da sicher sei. Soweit ich mich erinnere, hast Du mich damals eines Besseren belehrt, dass u.U. noch eine Restlücke bleibt. Es ging dabei um JS, Path_Info und die Parameter.

In der ältesten Fundstelle (von vor 12 Jahren) eines Threads (auch) zum Thema PHP_SELF, an dem wir beide direkt miteinander beteiligt waren gibt es diesen Widerspruch nicht. Allerdings schrieb ich dort auch nur von „SCRIPT_NAME ist sicherer“, ohne das zu begründen, vermutlich ohne das (damals) wirklich begründen zu können.

Ein paar der noch älteren Beiträge von mir, die sich auf PHP_SELF beziehen und die ich bei der Recherche gesichtet habe, sind aber aus heutiger Sicht regelrecht gruselig. Man möchte seinem früheren Ich nicht selbst begegnen müssen. 😏

Tschö, Auge