Hello,

um per PHP Daten aus einer Datenbank zu lesen, habe ich bis jetzt immer mit einem Formular auf PHP_SELF zugegriffen und dann die SQL Abfrage gemacht.

Die ungeprüfte Verwendung von $_SERVER['PHP_SELF'] eröffnet die Möglichkeit, die Seite zu missbrauchen. Wenn ein Bösewicht einen entsprechenden Link auf die Seite setzt, kann das Original-Formular entführt werden, ohne dass der User das wirklich mitbekommt...

Verwende deshalb besser S_SERVER['SCRIPT_NAME'].

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg