Hi,

ich hab mal gehört das angeblich ein einfaches einbilden von $_SERVER['PHP_SELF'] alla
echo '<form method="post" action="'.$_SERVER['PHP_SELF'].'">';
ein Sicherheitsrisiko darstellen soll.

Ist das Richtig?

Ja.
Insbesondere dann, wenn du es vollkommen "unbehandelt" ausgibst, also den Kontext, in den du es bringst, unberuecksichtigt laesst.
(Der Kontext heisst in diesem Falle HTML, und zur Absicherung dient htmlspecialchars().)

Falls ja, wie kann ich sonst denn Dateinamen dynamisch ermitteln?

SRCIPT_FILENAME aus dem $_SERVER-Array ist unter normalen Umstaenden gleichwertig.

MfG ChrisB