Можно ли осуществить взлом сайта через $_SERVER['REQUEST_URI'] ?

и это отобразится только на странице атакующего. Как полезно использовать уязвимость?

Дать "заряженную" ссылку на форму в ленте социальной сети, например.
У всех открывших появится алерт с текстом "xss".

Изменив скрипт, можно угнать куки. Если механизм сессий такой же дырявый как и форма (не проверяет IP для сессии), то атакующий может перехватить сессию и войти на сайт под учеткой пользователя открывшего ссылку.

Я имею ввиду, что если вы измените SERVER['REQUEST_URI'] - то актуально будет для вас.

У других пользователей та же самая страница будет грузится с нормальным REQUEST_URI

@grigor007 В REQUEST_URI попадает вся часть после домена, к примеру host.com/form/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cbr%20class=%22demo, вот окажется REQUEST_URI все, что после .com

@grigor007 ссылку на форму не обязательно давать на сайте. Вы можете подделать корпоративную рассылку, в которой будет "заряженная" ссылка.

@HangGlider да и правда. Я так понимаю быстрое решение это htmlspecialchars(strip_tags($_SERVER['REQUEST_URI'])) ?

@grigor007 да. можно даже без strip_tags

Если надо православненько сделать, тогда: filter_input(INPUT_SERVER, 'REQUEST_URI', FILTER_SANITIZE_URL)

Доки: php.net/manual/ru/ref.filter.php

@HangGlider не пойму работает filter_input и filter_var или нет

туда значения уже приходят кодированные и alert не появляется. Если же сделать так:

$_SERVER['REQUEST_URI'] = filter_var(urldecode($_SERVER['REQUEST_URI']), FILTER_SANITIZE_URL);

то отрабатывает alert('xss')