Hi,

in deinem Formular schreibst du dann einfach:
..."<form action="index.php' . $_SERVER["QUERY_STRING"] . '" method="POST">...

... und machst die Seite damit XSS-anfaellig.

*Niemals* vom Client kommende Daten unbehandelt in einen Kontext, in dem bestimmte Zeichen spezielle Bedeutung haben koennen, uebernehmen.

In diesem Fall lautet der Kontext HTML, und deshalb ist htmlspecialchars() drauf anzuwenden.

MfG ChrisB