Hi,

Grundsätzlich gilt: Alles was vom Client kommt, sollte mit größter Sorgfalt begutachtet werden, da diese Daten meist manipulierbar sind.

Schon klar. aber aufgrund des $_SERVER dacht ich das kommt vom server
und nicht vom user. mal abgesehen davon das das betreffende Projekt,
sollte da jmd manipulieren wollen es eh z spät ist da er sich
eingehackt hat, außerdem entsteht da ja kein schaden, dann wird er
halt nicht zurückgeleitet sondern muss sich dort wieder hinklickern.

Warum sollte sich der Name des Skriptes so oft ändern, als dass du ihn völlig dynamisch ermitteln müsstest.

Weil es eben so gut wie komplett dynamisch ist.

In solch einem Fall ist IMHO etwas mit der Konzeption des Projektes nicht in Ordnung,
denn dann wäre auch der unsinnige Weg über $_SERVER['HTTP_REFERER'] unnötig.

und wie soll ich das dann sonst eine dynamisch rückleitung ohne JS machen?

MfG