PHP::HOSTヘッダインジェクション攻撃

HOSTヘッダインジェクション攻撃
http://blog.a-way-out.net/blog/2015/11/06/host-header-injection/

⇒未検証の $_SERVER['HTTP_HOST'], $_SERVER['SERVER_NAME']は、信用してはいけない。という話。
『$_SERVER['HTTP_HOST']を使ったサーバのURLの自動判定は脆弱性と判断し廃止しました。』そうかー