¿Se puede falsificar $ _SERVER ['REMOTE_USER']?
Tengo una situación en la que estoy abriendo un archivo basado en la variable $ _SERVER ['REMOTE_USER']. No creo que esto sea falso, pero me gustaría confirmarlo. No quiero hacerme vulnerable a la lectura de archivos arbitrarios:
<?
$user = $_SERVER['REMOTE_USER'];
$fp = fopen("./$user.png","r");
?>