65536: ну так напишите домен в конфиге, зачем вам http_host, если ечь об одном сайте. А если нет, то в чем проблема сделать проверку? Неколько строк проверить или даже просто фильтрануть одной.
Александр Аксентьев: пропись в конфиге минус балл к автоматизации, если эту пропись саму не автоматизировать конечно. в идеале надо так чтобы выложил файлы и все само работает независимо от того где лежит. вот этот хттп_хост это последнее что мешает
Я может пропустил чего или не понял, объясните. Вот у меня собирается статистика по посещениям и http_host как и все остальные данные пишутся в базу через pdo или orm, которая использует то же pdo. Как злоумышленник реализует инъекцию?
то есть это не зазорно?) а то не раз вычитывал, что использовать хттп_хост это себя не уважать и вообще детский говнокод. да и во всяких фв/цмс применяются разнообразные ухищрения, у кого-то он даже хардкодится в конфиги при установке инсталлятором, а потом делай что хочешь. думаю не бессмысленно его так избегают и тычут пальцем, поэтому и спрашиваю
