Hoi Sven,

Ich schrieb allerdings "zum Beispiel per FTP", das schließt andere
Methoden nicht aus.

Nein, ich wollte dich auch eher ergaenzen und nochmal darauf
hinweisen, wie *wichtig* es ist, Usereingaben *immer* zu validieren.

Wenn der Webserver allerdings "*.php" als server-parsed ansieht,
dann dürfte es ziemlich schwierig werden, über ihn an ungeparste
PHP-Dateien ranzukommen. Sehe ich das irgendwie richtig?

bei 'Server-Parsed' wohl nicht. Aber wenn du meinst, es ist
schwierig, an PHP-Source 'ranzukommen, wenn der Webserver korrekt
konfiguriert ist, kann ich nur sagen: prinzipiell ja. Aber denk an
nicht validierte Usereingaben, das ist wichtig! Selbst Yahoo! hatte
da schon Sicherheitsluecken. Man konnte sich deren Scripte und
Passwort-Dateien wunderschoen beschauen -- wegen unge'parsed'ter
User-Eingaben im Stile von url?url=file, wo durch ein kurzes
ausprobieren klar war, dass man so ziemlich alles auf dem Server
auslesen konnte, indem man ganz einfach den url-Parameter umaendert.

Gruesse,
 CK