Любая переменная, которой может управлять пользователь, также может контролировать злоумышленник и, следовательно, является источником атаки. Это называется "испорченной" переменной и небезопасно.
При использовании $ _ SERVER
можно управлять многими переменными. PHP_SELF
, HTTP_USER_AGENT
, HTTP_X_FORWARDED_FOR
, HTTP_ACCEPT_LANGUAGE
и многие другие, отправленные клиентом
, являются частью HTTP-заголовка. Кто-нибудь знает о "безопасном списке" или незапятнанном списке переменных $ _ SERVER
?