Hi!

htmlspeicalchars habe ich in einer Datei, welche am Anfang jeder Seite included wird.

htmlspecialchars() muss beim Erstellen des HTML-Codes aufgerufen werden, nicht eher - und später ist sowieso sinnlos.

Es ist nicht im HTML eingefügt, die ganze Seite ist rein php.

Der gezeigte Code fügt etwas in ein Attribut des HTML-Elements form ein. Also wird etwas in HTML eingefügt, und das muss gemäß dessen regeln behandelt werden, wenn du keine Sicherheitslücken haben möchtest.

Gibt es den eine Alternative, zu $GET? Habe es schon mit $_SERVER['PHP SELF' veruscht, jedoch geht er dann bei click auf die index.php und er sollte dort nicht hin..

Was willst du eigentlich erreichen? Ich sehe nur, dass du das action-Attribut setzen willst. Aber ich weiß nicht, wohin das Formular gehen soll. Ist es ein Affenformular, dann kann action leer bleiben (action=""), um die aktuelle Seite erneut aufzurufen.

Lo!