Hello,

Der einfachste Weg ist,

htmlspecialchars($_SERVER['PHP_SELF'])

zu verwenden, oder alternativ $_SERVER['SCRIPT_NAME']

Und das würde ausreichend Sicherheit bieten?
Der Scriptname kann nicht mehr manipuliert werden?

Doch, aber dann findet der Server die Ressource nicht mehr und antwortet mit einem Status 404 oder einer Umleitung oder was Du sonst so konfigurierst hast. Dem Client kann also nicht unbemerkt etwas untergejubelt werden. Die zusätzliche PATH_INFO wird jedenfalls abgeschnitten und die beinhaltet ja ja die Gefahr.

http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg