Hallo Felix,

Sicherheitsrisiko

Welches Risiko soll bestehen, wenn ich mir von dort den Pfad besorge? Ich habe versucht, dazu etwas zu finden, aber die Sicherheitshinweise, auf die ich gestoßen bin, beziehen sich vor allem auf HTTP_HOST und SERVER_NAME. PHP_SELF ist auch so eine Sache, weil PHP_SELF auch den Pfadrest hinter dem Script enthält (z.B. bei /foo/script.php/dings/bums) und dieser Pfadrest beliebig böse sein kann. Bei SCRIPT_NAME ist es dem Server aber bereits erfolgreich gelungen, das Script darüber zu finden, da kann so viel Müll also nicht mehr drin sein.

Was man nicht tun sollte, ist, den erhaltenen Pfad zum navigieren im Filesystem des Servers zu verwenden. Er kann Verzeichnisakrobatik enthalten (foo/../../../../../etc/) und damit ggf. aus dem Document-Root ausbrechen. Ich denke, dass das aber auch für REQUEST_URI gilt.

immer verwenden

"Immer" ist ein großes Wort. REQUEST_URI zeigt bei Rewrites woanders hin als SCRIPT_NAME. Es hängt von der konkreten Anwendung ab, welches von den beiden das gewünschte Ergebnis liefert. Eine Prise Salz auf dem Immer sollte daher erforderlich sein.

Rolf