ich hab mal gehört das angeblich ein einfaches einbilden von $_SERVER['PHP_SELF'] alla
echo '<form method="post" action="'.$_SERVER['PHP_SELF'].'">';
ein Sicherheitsrisiko darstellen soll.

Ist das Richtig?
Falls ja, wie kann ich sonst denn Dateinamen dynamisch ermitteln?

Dass du action abhängig machst vom ausführenden Script, ist nur ein Aspekt.
Ein anderer aber ist, dass dein action keine absolute Url darstellt.
Du kannst zumindest dies ändern, indem du
<base href="http://your.domain.example/">
verwendest. Damit werden alle relativen Pfade in Links auf diese Adressbasis bezogen.
Alternativ kannst du die Basisadresse ja auch ins action Attribut direkt schreiben.

mfg Beat