Hi,

Du solltest genauso wenig $_SERVER['REQUEST_URI'] wie $_SERVER['PHP_SELF'] direkt benutzen für den Selbstbezug im action-Attribut des Forms.

Wo ist denn hier ein Formular im Spiel?

Du solltest Dir eine Funktion schreiben, die diesen Wert erzeugt aus _sicheren_ Daten. Die kannst Du dann anstelle von irgendwelchem Gebastel dort einbinden.

Ja, wenn's zu Formularen kommt, dann schon.

Das öffnet eine Lücke für Cross Site Scripting und "Phishing".

Jetzt verwirr mir das Kerlchen nicht ... was die Links angeht, ist das durch die Hinterlegung der ausgegebenen Werte im Array hinreichend sicher.

MfG ChrisB