Hello Felix,

Ich dachte schon daran dies zu verwenden, jedoch ist Ausgabe von soetwas im HTML-form-action ja genauso ungünstig, da man ja in die Adresszeile alles einschleusen könnte.

Klar kann man, aber dann landet man ja nicht bei Deinem Formular, oder?

und genau DAS ist ja das Problem.
Man kann somit die Eingaben im Originalformular auf eine eigene Ressource umleiten.
Das Formular ist durch die einfache (unbehandelte) Benutzung von $_SERVER['PHP_SELF'] entführbar.
Das geht auch ohne JavaScript. Ich zeige hier aber extra nicht, wie.

Entweder man behandelt die Ausgabe kontextgerecht mit htmlspechialchars($_SERVER['PHP_SELF']) oder man benutzt die "kastrierte" Variante $_SERVER['SCRIPT_NAME'], die aber genaugenommen auch kontextsensitiv   behandelt werden müsste, denn Ressourcenamen dürfen auf vielen Systemen auch Sonderzeichen enthalten.

Also wäre es meiner Meinung nach vernünftig, wenn man

htmlspecialchars($_SERVER['SCRIPT_NAME'])

benutzt.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg