Gebe diese Variablen niemals direkt in einem PHP-Script aus. Vertraue dem Inhalt nicht, sie können manipuliert werden. Sonst öffnet sich ein Tor für XSS und CSRF!

• $_GET
• $_POST
• $_REQUEST
• $_COOKIE
• $_SERVER['SCRIPT_URI']
• $_SERVER['QUERY_STRING']
• $_SERVER['PATH_INFO']
• $_SERVER['PATH_TRANSLATED']
• $_SERVER['PHP_SELF']
• $_SERVER['SCRIPT_URI']
• $_SERVER['HTTP_USER_AGENT']
• $_SERVER['HTTP_ACCEPT_ENCODING']
• $_SERVER['HTTP_ACCEPT']
• $_SERVER['HTTP_ACCEPT_LANGUAGE']
• $_SERVER['HTTP_X_FORWARDED_FOR']
• $_SERVER['$HTTP_X_FORWARDED']

Hier kann man nachlesen, wie man seine PHP-Applikatione dagegen schützt: Schutz gegen XSS