Tach!

echo "cmd profil ist " . $_POST['cmd_Profil'] . "<br>";

Und wieder der Kapitalfehler. Nutzereingaben sind per se böse. Niemals Nutzereingaben unbehandelt in HTML ausgeben!

Nicht-Nutzereingaben haben dasselbe böse-Potential. Das Unterscheiden zwischen Nutzereingaben und anderen Daten ist auch per se böse.

Ausgaben zu Testzwecken, und danach sieht es mir in dem Fall aus, fallen nicht unter "niemals".

dedlfix.