насколько можно доверять $_SERVER["PHP_AUTH_USER"] , то есть можно ли как-то со стороны клиента подделать эту переменную
пароль конечно используется, просто в дальнейшем на странице идёт работа с $_SERVER["PHP_AUTH_USER"] для создания файлов которые принадлежат только этому пользователю, ну и соотв. в имя файла генерится эта переменная, сама папка закрыта "deny all" через .htaccess, так что кроме как скрипту она никому не видна, вот у меня и вопрос, после того как я прологонился немогу я сменить эту переменную каким-то неклассическим способом и представить себя как другого пользователя, понимаю что скорее всего это невозможно, но т.к. я непонимаю глубину всего механизма авторизации через $_SERVER["PHP_AUTH_USER"] хочется подстраховатся
Если коротко: никогда не доверяй данным, приходящим от пользователя. Узнать больше можешь погуглив слова "Базовая аутентификация" или "Basic auth".