Aloha ;)

Okay, ich gebe dir ja Recht. Es ist extrem unwahrscheinlich, dass $REQUEST_URI benutzerdefiniert ist, da ('software.php') leer sein soll und woanders mit ominösem Inhalt gefüllt. Gänzlich unmöglich ist es dennoch nicht...

Was mich einfach stutzig macht: Wenn da tatsächlich $_SERVER['REQUEST_URI'] stehen sollte, dann macht es eigentlich keinen Sinn, das action-Attribut überhaupt zu füllen - denn auf den aktuellen REQUEST_URI wird ja auch mit leerem action-Attribut (in HTML5-Sprech: ohne action-Attribut) verwiesen...

Es kann natürlich sein, dass der Entwickler damals 1. mit register_globals und 2. redundant gearbeitet hab. Ich will aber nicht grundsätzlich davon ausgehen. Auch wenn ich dir Recht gebe, die Bezeichnung der Variable als $REQUEST_URI macht die Annahme schon zur naheliegendsten.

Grüße,

RIDER