Moin,

Die Verwendung von $_SERVER['PHP_SELF'] stellt eine Sicherheitslücke dar, siehe z.B. die Links in diesem Archivbeitrag.

Die Darstellung in dem Blogbeitrag ist nicht ganz richtig. Die Standardeinstellung von einem Apache-Webserver im Bezug auf die Direktive "AcceptPathInfo" ist "default". Das bedeutet, dass der jeweilige Handler entscheidet, ob der Zugriff zugelassen wird oder nicht. Bei gewöhnlichen Dateien ist der Handler so konfiguriert, dass er es standardmäßig abweist. Nur bei speziellen Skripten, wie cgi oder isapi werden die Zugriffe standardmäßig zugelassen.
Und selbst wenn die Direktive auf "on" stehen würde, könnte man sie mittels .htaccess für seinen Webspace überschreiben.
Das Sicherheitsproblem liegt hier also eher an der Konfiguration des Servers.

Trotzdem danke für den Hinweis; SCRIPT_NAME ist grundsätzlich unanfällig für externe Veränderungen, von daher habe ich es im Skript auch verändert.

Grüße Marco