Hi

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">

$_SERVER['PHP_SELF'] ist bei der üblichen Serverinrichtung, bei der auch Pfadergänzungen nach der eigentlichen Ressource zulässig sind und ans Script weitergereicht werden, nicht ganz ungefährlich. Insbesondere Formulare werden durch einen "manipulierten Link" auf die Ressource entführbar.

bei mir hat $_SERVER['PHP_SELF'] immer nur den Pfad ohne "?..."

wie kann das Formular mit $_SERVER['PHP_SELF'] "entführt" werden?
trifft das dann auch auf $_SERVER['REQUEST_URI'] zu?

Stella