Moin,

Ein htmlspecialchars() drumherum, wenn es nach HTML ausgegeben wird, und PHP_SELF ist genauso ungefährlich wie alles andere.

Wenn man sich angewöhnt $_SERVER['SCRIPT_NAME'] zu verwenden, braucht man sich nicht um die Lücke, die PHP_SELF darstellt mit extra Funktionen zu schließen.

Bitte? Da wird doch alles mit echo ausgegeben, was mit echo ausgegeben werden muss.

Ich habe ja nicht gesagt, dass es falsch ist. In den meisten Editoren ist jedoch die Ausgabe mittels Stringverkettung übersichtlicher (vom Kontextwechsel her) als so ein Konstrukt, zumal man sich Schreibarbeit spart. Ob das nun üblich ist oder nicht: Es war ein Tipp meinerseits.

Dazu noch display_errors einschalten, sonst sieht man selbst die nicht, die jetzt schon hätten zu sehen sein müssen (zum Beispiel wegen session_start()).

Richtig. Sollte man auf die Grundeinstellungen keinen Zugriff haben, ließe sich selbige auch für die Script-Laufzeit mit ini_set() einstellen.

Grüße Marco