Hello,

Im übrigen haben alle Formulare (und allgemein alle Skripts), die $_SERVER['PHP_SELF'] unmaskiert übernehmen, ein XSS-Problem. Verwende htmlspecialchars() oder htmlentities(), oder gib das action-Attribut direkt an.

oder benutze $_SERVER['SCRIPT_NAME']

Das hat das 'Problem' mit der Path-Info nicht.
Oder schalte beim Webserver (Apachen) die Pathinfo ab.

Ein harzliches Glückauf

Tom vom Berg