Hallo Steffen,
Darauf hat sich meine Frage bezogen und
$_SERVER['PHP_SELF']
ist keine "incoming data"?!
Deswegen verstehe ich Toms Sicherheitsrisiko nicht.
hier zwei Links, um die Du gebeten hast:
http://seancoates.com/xss-woes
http://blog.oncode.info/2008/05/07/php_self-ist-boese-potentielles-cross-site-scripting-xss/
Vielleicht siehst Du jetzt die Problematik.
Freundliche Grüße
Vinzenz