Hallo

das haben wir (mit Dir zusammen) vor ca. 16 bis 18 Jahren schon einmal diskutiert. Und ich vertrat damals die Ansicht, dass SCRIPT_NAME gegeüber PHP_SELF da sicher sei. Soweit ich mich erinnere, hast Du mich damals eines Besseren belehrt, dass u.U. noch eine Restlücke bleibt.

Ich bin mir nicht bewusst, irgendwann einmal für PHP_SELF statt SCRIPT_NAME agitiert zu haben.

Das steht da gar nicht. Du hast nicht richtig gelesen.

Du hattest gezeigt, dass auch bei Verwendung von SCRIPT_NAME noch eine Lücke bleiben kann, wenn man den Kontextwechsel für die HTML-Ausgabe nicht absichert.

Ach so, darauf wolltest du hinaus. Aber das ist doch wohl „ganz normaler“ Kontextwechsel und damit (zumindest für die Wissenden) ein Allgemeinplatz. 😀

Tschö, Auge

edit: geplanten Smiley vergessen