Hi!

Welchen gesteigerten Sinn hat es denn, wenn die Selbstreferenz nicht einfachst automatisch durch Weglassen erfolgt, sondern durch explizite Eintragung in x Varianten mit y Möglichkeiten, dabei Fehler zu fabrizieren?

in PHP gibt es auch noch $_SERVER['SELF']

Richtig wäre PHP_SELF gewesen, aber das und

<form action="$_SERVER['REQUEST_URI']" method="post">

REQUEST_URI haben die Eigenheit, dass sie durch Ergänzungen der aufgerufenen URL um weitere Zeichen erweitert werden können und sie trotzdem noch auf das selbe Script verweisen. Wenn man diese Werte dann ohne Beachtung des Kontextwechsels einfügt, hat man sich mal wieder eine XSS-Lücke gebaut.

Lo!