Moin,

genau dies wird durch REGISTER_GLOBALS geregelt. In alten PHP versionen waren diese per default auf on. Das heisst man brauchte dieses $_GET['eingeloggt'] nicht, sondern $eingeloggt hat automatisch den Wert aus der URL bekommen. Seit kurzem ist diese Option nun per default auf off kann aber immer noch in der php.ini verwändert werden. So gut wie alle provider haben nun dieses immer noch auf on, damit die veralteten Scripte der Kunden (ich habe auch noch ein paar solche laufen) trotzdem funktionieren und nicht plötzlich den Dienst einstellen. Wenn du nun das bei so einen Provider hostest und dich darauf verlässt das es ja $_GET['eingeloggt'] heissen muss kannst du die übelsten sicherheitslücken da rein basteln...

Marc