Hello,

das haben wir (mit Dir zusammen) vor ca. 16 bis 18 Jahren schon einmal diskutiert. Und ich vertrat damals die Ansicht, dass SCRIPT_NAME gegeüber PHP_SELF da sicher sei. Soweit ich mich erinnere, hast Du mich damals eines Besseren belehrt, dass u.U. noch eine Restlücke bleibt. Es ging dabei um JS, Path_Info und die Parameter.

Ich bin mir nicht bewusst, irgendwann einmal für PHP_SELF statt SCRIPT_NAME agitiert zu haben. Aber was weiß ich, was ich vor Urzeiten geschrieben habe.

Das steht da gar nicht. Du hast nicht richtig gelesen.

Du hattest gezeigt, dass auch bei Verwendung von SCRIPT_NAME noch eine Lücke bleiben kann, wenn man den Kontextwechsel für die HTML-Ausgabe nicht absichert.

Glück Auf
Tom vom Berg