<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>"><br>
Que tan recomendado es tener el php que procesa el formulario dentro del mismo html? aun utilizando htmlspecialchars para escapar de caracteres especiales, si se podria evitar ataques xss ?