Tach!

Die Verwendung von $_SERVER['PHP_SELF'] stellt eine Sicherheitslücke dar,

Nicht die Verwendung an sich stellt eine Sicherheitslücke dar, sondern die Verwendung ohne htmlspecialchars() - wie bei allem, was man in den HTML-Kontext einfügt.

dedlfix.