Hi,

• PHP_SELF muß nicht gesetzt sein
  Unter welchen Bedingungen kann das passieren?

• $PHP_SELF ist veraltet -> $_SERVER['PHP_SELF'].
• PHP-Manual User-Anmerkungen: "Running Xitami in Windows 2000 and PHP 4.3.7, nor PHP_SELF or SCRIPT_FILENAME is not availiable."
• Man kann es aus Sicherheitsgründen deaktivieren (IMHO z.B. bei suPHP).

Nun habe ich mir zwar noch keine Gedanken gemacht, wie man das "irgendwasVomUser" manipulieren müsste, damit es im action-Attribut Schaden anrichten könnte,

http://de.wikibooks.org/wiki/Websiteentwicklung:_PHP:_Konfiguration#Pseudo-URLs_durch_PATH_INFO -> http://example.com/tests/simple.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo

Gruß, Cybaer