Можно ли подменить переменные из глобального массива $_SERVER? Они то вроде возвращаются сервером... Стоит ли фильтровать эти переменныіе?

В общем случае - стоит. Вспомните, например, про $_SERVER['argv'] - вот их" подменить" труда не составит.

Смотря что.
QUERY_STRING - вообще без какой-либо обработки приходит, ровно то, что запросил пользователь.
HTTP_* все на раз подменяются. Разве только HTTP_HOST подменить сложнее, на него другой сайт ответит почти всегда

Осуществление установки значений предполагаемых переменных окружения для PHP-интерпретатора, производится в потоке инициализации соответствующего дочернего процесса в родительском приложении, в качестве которого допустимо использование системы поддержки CGI-интерфейса на основе механизмов alias-инга и действенного перенаправления, или обеспечение внедрения исполняемого потока на основании API-интерфейса в уровне трактования реального потока кода

Спасибо всем, бум фильтровать

http://phpfaq[dot]ru/ip

Осуществление определения корректного IP-адреса целевого пользователя web-ресурса в общем случае в действительости является невозможным, в силу наличия в процессе транспортирования сетевого пакета таких устройств маршрутизаторов и внешних шлюзов, обеспечивающих инициацию присвоения целевого объекта к собственной или ассоциированной сети; для осуществления определения IP-адреса клиента с достаточной точностью, необходимо использование ActiveX-элемента обеспечивающего проведение трассировки пути до целевого web-сервера