Я нашел статью, утверждающую, что $_SERVER['PHP_SELF']
уязвим для XSS.
Я не уверен, правильно ли я это понял, но я почти уверен, что это неправильно.
Как это может быть уязвимо для атак XSS!?
<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<!-- form contents -->
</form>