Tach!

<form action='<?= $PHP_SELF?>' id='fDel' class='mF_hide' method='post' accept-charset='utf-8'>
   <input type='hidden' id='TDSQL' name='TDSQL' value=''>

a) Gibt es $PHP_SELF in dieser nackigen Form? Warum steht das da nicht als $_SERVER['PHP_SELF']?

b) Da fehlt die kontextgerechte Behandling. Ein htmlspecialchars() muss sein, sonst gibts da eine XSS-Lücke. Und damit man htmlspecialchars ohne zusätzliches ENT_QUOTES aufrufen kann, sollte der action-Wert in doppelte Anführungszeichen gesetzt werden.

dedlfix.