Tach!

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="get">
Als erstes solltest du ihm ein htmlspecialchars() auf den Weg geben, sonst kann man durch URL-Manipulation Code in deine Seite einschleusen.
sollte man prinzipiell machen - ja, aber wie sollte der Angriff in diesem Fall funktionieren?

Benötigt wird dazu das Feature PathInfo, was meist im Webserver eingeschaltet ist. Dann ruft man die eigentliche URL auf und hängt noch /"irgendwas an. An dem " hört dann das action-Attribut des form-Elements auf und der Rest wird als Code interpretiert.

dedlfix.