Hello,

Weiterhin bezugnehmend auf $_SERVER['PHP_SELF'] so sollte dass doch der eher sichere Weg sein, wenn globals=off sind. (Aber das ist nebensächlich)

Das hat mit register globals überhaupt nichts zu tun.
$PHP_SELF und $_SERVER['PHP_SELF'] sind daher gleichermaßen betroffen.
Man darf beide nicht ungeprüft in das action-Attribut seines Formulares aufnehmen, wenn einem die Daten, die über das Formular übertragen werden, lieb sind.

Dann sollte man $_SERVER['SCRIPT_NAME'] für den Selbstbezug benutzen, oder aber die Pfadergänzug (Apache Pathinfo) sicher abschneiden. Pfadergänzung bedeutet hier:

http://example.org/scriptname.php/noch/ein/paar/Ergaenzungen/beliebiger/Art
                                     -------------------------------------------

Da kann man auch böse Dinge anhängen, die ich aber nicht nochmal vorführen werde hier.

Harzliche Grüße aus
Sankt Andreasberg
und Frohes Neues Jahr

Tom

--
Nur selber lernen macht schlau