Hello,

Das $_SERVER["REQUEST_URI"] ist ins Spiel gekommen, weil ich mit mod_rewrite die URL umschreibe, dadurch fällt $_SERVER["SCRIPT_NAME"] schon mal weg, gibt es noch eine andere Alternative?
Mir ist nur wichtig, das in der Adressleiste des Browsers das .php weg ist.

Du solltest genauso wenig $_SERVER['REQUEST_URI'] wie $_SERVER['PHP_SELF'] direkt benutzen für den Selbstbezug im action-Attribut des Forms.

Du solltest Dir eine Funktion schreiben, die diesen Wert erzeugt aus _sicheren_ Daten. Die kannst Du dann anstelle von irgendwelchem Gebastel dort einbinden.

$form = '';
   $form .= "<form action="".meine_url_funktion($seite)"." method="post">\r\n";
   $form .= ....usw.

Dann hast Du das Gehampel mit der Umsetzung auch zentralisiert auf diese Funktion und musst Dich nicht später nochmal durch die gesamten Scripte wühlen, wenn Du doch nochmal etwas ändern willst an den Paramertern.

Die beiden Variablen $_SERVER['REQUEST_URI'] und $_SERVER['PHP_SELF'] sind aber bekanntermaßen unsicher, da sie beim Response-Request-Ping-Pong durch den Client verändert werden können.

Das öffnet eine Lücke für Cross Site Scripting und "Phishing".

Ein harzliches Glückauf

Tom vom Berg