Hallo,

<form name="" action="<?php echo $_SERVER['PHP_SELF']; ?>"
method="POST" enctype="text/html">

Diese enthält aber bei Standardeinstellung des Webservers (zumindest beim Apachen ist es so) auch die sogenannte Path-Info, also den Teil der URL, den der User zusätlich noch hinten anfügt an den Pfad. Bitte nicht verwechseln mit den Parametern.
Mittels dieser Path-Info kann man dann das Formular entführen und/oder JavaScripts verstecken.
Es ist daher sicherer, die Variable $_SERVER['SCRIPT_NAME'] zu verwenden, die von PHP um diese Zusatzinformation bereinigt wird.

bist Du dir da sicher?

bei mir kommt das!

_SERVER["QUERY_STRING"] sss
_SERVER["REQUEST_URI"] /info.php?sss
_SERVER["SCRIPT_NAME"] /info.php
_SERVER["PHP_SELF"] /info.php

oder was habe ich da falsch Verstanden??

Mit freundlichen Gruessen aus dem Ruhrgebiet

Ulli