Hi,

Das Lob aus Deinem Mund schätze ich sehr hoch ein, weil ich auch weiß, das es nicht leicht zu bekommen ist.

Professionelle Webgestalter kriegen von mir auch eher Haue - die coden leider oft nicht so kompatibles HTML/CSS ...

Das Schöne/Schreckliche als "Netzmeister" ist wohl die Tatsache, das man immer etwas zu tun findet.

Wohl wahr, wohl wahr. Die Kunst ist es aber natürlich, zum passenden Zeitpunkt auch mal "Fünfe gerade" sein zu lassen ... ;-)

... sagt mein Chef sinngemäß immer, wenn ich kein Ende finden kann ... >;->

Danke für den Hinweis. Mir ist nur nicht klar, wieso PHP_SELF als Userdate gelten soll?. Ich dachte die $_SERVER Variablen kommen vom Server? Wie kann man das denn manipulieren?

Der Server muß sie sich ja auch irgendwoher holen. Und als Quelle dienen dabei eben auch Daten, die vom User kommen (logisch, denn er sendet ja scließlich den Request ;-)). Denke nur an HTTP_REFERER, oder, ganz tückisch, SERVER_NAME und HTTP_HOST: üblicherweise sind beide identisch, aber SN kommt vom Server, HH vom User (solltest Du also auch korrigieren).

Was PHP_SELF angeht: http://example.org/script.php/irgendwas oder http://example.org/script.php?irgendwas

Aber das betrifft ja nicht nur PHP_SELF. Du gibst ja auch $css_name jedesmal ungefiltert aus. Nutze also bei Bildschirmausgaben von unbekannten Daten immer htmlentities()! Und im Fall des "Switch-Links" kommt noch hinzu, daß URL-Parameter escaped werden sollen.

Gruß, Cybaer