Какие переменные $ _SERVER безопасны?

Любая переменная, которой может управлять пользователь, также может контролировать злоумышленник и, следовательно, является источником атаки. Это называется "испорченной" переменной и небезопасно.

При использовании $ _ SERVER можно управлять многими переменными. PHP_SELF , HTTP_USER_AGENT , HTTP_X_FORWARDED_FOR , HTTP_ACCEPT_LANGUAGE и многие другие, отправленные клиентом

, являются частью HTTP-заголовка. Кто-нибудь знает о "безопасном списке" или незапятнанном списке переменных $ _ SERVER ?