Im übrigen haben alle Formulare (und allgemein alle Skripts), die $_SERVER['PHP_SELF'] unmaskiert übernehmen, ein XSS-Problem. Verwende htmlspecialchars() oder htmlentities(), oder gib das action-Attribut direkt an.