Hi,

<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
htmlspecialchars() ist hier unnötig und $_SERVER['PHP_SELF'] ist manipulierbar.

Hmm, ich dachte gerade wenn es ja manipulierbar ist wäre htmlspecialchars angebracht? Was wäre denn an dieser Stelle besser? Direkt "reservierung.php" eingeben?

entweder das, oder wie in meinem Formular die sichere Server-Variable.

und die reservation.php:
warum eine Extra-Datei?

Hmm... Tom hat vorgeschlagen das HTML-Formular und das PHP-Skript strikt zu trennen. Ist doch auch sinnvoll, so kann ich das Formular includen und muss nicht alles per echo ausgeben lassen. Trägt doch zur Übersichtlickeit bei... was ist daran schlimm?

schlimm nicht direkt - ich finde die Aufteilung nur etwas unpraktsch. Wenn Du Dich auf

"trenne bitte als erstes HTML und PHP voneinander, soweit es geht."

beziehst, verstehe ich diesen Hinweis anders, nämlich so, dass Du Dich an das EVA-Prinzip halten solltest; also zunächst die PHP-Verarbeitung und hierin sämtliche Ausgaben _vorbereiten_, dann im HTML-Teil diese (möglichst ökonomisch) eintragen.

Das ganze Formular per echo auszugeben, fände ich auch unpraktisch. Ich finde, es kann ruhig immer, d.h. unabhängig von der Auswertung, angezeigt werden. Bei erfolgreichem Versand könnte man evtl. die Eingaben vorher löschen und wenn Du es in diesem Fall nicht mehr ausgeben willst, könntst Du auch den PHP-Bereich zwischendurch verlassen, um das Formular normal notieren zu können - ist zwar mMn unsauber, aber wenn man das nur einmal verwendet und übersichtlich notiert, noch akzeptabel.

freundliche Grüße
Ingo