Hi,

Dem Absendebutton ist somit kein Name zugeordnet.
Auch meines Erachtens nix besonderes, aber kann dies für einen Angriff genutzt werden?

nein. _Alle_[1] Eingabefelder führen zu Name/Value-Pairs, die Du bei einem GET-Formular in der URL als "name=value&name=value&name=value..." sehen würdest. In den POST-Daten sind die gleichen Daten vorhanden, nur anders repräsentiert. Fehlt ein name-Attribut, wird kein Name/Value-Pair generiert; wird eines hinzugefügt, nun, dann hast Du "handelsübliche Datenmanipulation", die jeder Hinz und Kunz in der URL-Zeile des Browsers versucht. Serverseitig musst Du einen Check auf Realitätsnähe der Daten machen, das ist alles - das musst Du aber _immer_ machen.

[1] Bei Radiobuttons wird nur der ausgewählte Button übertragen; bei Checkboxen nur das Name/Value-Pair der angeklickten; bei <select multiple> gibt's ggf. mehrere Pairs; bei <input type="image"> gibt's in "name.x" und "name.y" die Klickkoordinaten.

Nachfolgend zwei Beispiele. Im Beispiel 1 bleibe ich in unserem VirenScanner hängen,

Du hast einen merkwürdigen Virenscanner.

Cheatah