Hi,

Demnach ist es aber möglich, (php-)Script auf dem Server mit getürkten Anfragen zu übreschütten,

ja, das ist korrekt. Es ist in HTTP auf keinen Fall erforderlich, dass Requests ausschließlich "von der Seite" (diese Formulierung macht in dem Protokoll eh nur wenig Sinn) kommen, die der Entwickler dafür vorgesehen hat.

also einfach diverse Standardbezeichner für Variablen in ein Form zu packen.

Damit sprichst Du ein Sicherheitsrisiko von PHP an, das jedoch dadurch umgangen werden kann, dass statt magisch generierten Variablen dynamischen Namens ausschließlich Default-Variablen fixen Namens und (natürlich) eigens deklarierte (und initialisierte) sowie sinnvolle Methoden verwendet werden. Also $_GET und $_POST verwenden, um URL- und POST-Parameter auszulesen, getenv() für Environment-Werte. Sowas wie "if ($submit)" hat in einem Script nichts verloren, solange die Variable nicht vorher z.B. mittels "$submit = $_GET['submit'];" gefüllt wurde.

Namen, die ben jeder mal so nimmt... Und wenn Treffer dabei sind, kann man das Script gehörig durcheinander bringen und den Server nebst Admin zum Schwitzen.

DoS-Attacken sind übrigens strafbar.

Jetzt gilt es also herauszuarbeiten, wie Scripte in PHP einigermaßen "eigensicher" gestaltet werden können.

Bitte sehr, gern geschehen :-) Ich bin mir übrigens sicher, dass man in der php.ini (o.ä.) die automagische Variablen-Erzeugung deaktivieren kann, kann Dir aber leider nichts genaues dazu sagen.

Cheatah