Hi,

ist aber leider noch unschön und - was viel schlimmer ist - eine potentielle Spamschleuder.

<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
htmlspecialchars() ist hier unnötig und $_SERVER['PHP_SELF'] ist manipulierbar.

das erste Zitat hat mit dem zweiten nichts zu tun.

Ich möchte nicht einfach behaupten, dass Du Unrecht hast. Ich habe das Thema aber ziemlich intensiv mit Christian Seiler durch und ich meine, er hatr Recht, wenn er sagt, dass

htmlspecialchars($_SERVER['PHP_SELF'])

nicht mehr manipulierbar für Cross-Site-Scripting ist.

da magst Du zwar recht haben, aber manipulierbar könnte es vielleicht doch sein, wenn auch nicht "entführbar". Bevor ich eine manipulierbare Server-Variable mit htmlspecialchars() behandle, nutze ich doch lieber die nicht-manilulierbare Variable "pur".

Naja, er könnte auch den Absatz mit in die Error-Ausgabe aufnehmen. Dann hat er aber im nackten HTML-Template keinen Hinweis auf das Markup. Das ist dann vollkommen dynamisch und damit fehlerträchtig.

Nunja, lieber fehlerträchtig als sinnloses Markup.

Aber auch eine Syntax-Prüfung der Telefonnummer wäre nicht verkehrt (und könnte auch den ein oder anderen Spam-Bot abhalten).

Da sehe ich aber schon wieder eine eine Einschränkung von Vanity-Nummern usw.

Es wird eine Telefonnummer gefragt, da erwarte ich dann auch eine und kein Rätselspiel. ;-)
Aber was meinst Du mit usw.?

freundliche Grüße
Ingo