Hallo,

• PHP_SELF muß nicht gesetzt sein
  Unter welchen Bedingungen kann das passieren?

• $PHP_SELF ist veraltet -> $_SERVER['PHP_SELF'].

Ach was? *g* _Das_ wusste ich. Ich dachte Du sprichst über PHP_SELF als Key in $_SERVER.

• PHP-Manual User-Anmerkungen: "Running Xitami in Windows 2000 and PHP 4.3.7, nor PHP_SELF or SCRIPT_FILENAME is not availiable."

*g* Aha: "weder PHP_SELF oder SCRIPT_FILENAME ist nicht verfügbar" Ja, die Negation der Negation. Aber ich weiß, was gemeint ist.

• Man kann es aus Sicherheitsgründen deaktivieren (IMHO z.B. bei suPHP).

Ja, Danke für die Info. Werde ich mir merken.

Nun habe ich mir zwar noch keine Gedanken gemacht, wie man das "irgendwasVomUser" manipulieren müsste, damit es im action-Attribut Schaden anrichten könnte,
http://de.wikibooks.org/wiki/Websiteentwicklung:_PHP:_Konfiguration#Pseudo-URLs_durch_PATH_INFO -> http://example.com/tests/simple.php/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cfoo

*uups* Das _ist_ böse. Danke für den Hinweis. Glücklicherweise habe ich bisher keine PHP-Schulungen durchführen müssen und auch noch keine PHP-Projekte online, muss mich also noch für nichts schämen ;-).

viele Grüße

Axel