Holladiewaldfee,

Du kommst folgendermaßen an Deine Variable,
$variabe = $_GET['variable'];

Für $_GET, $_POST und $_REQUEST könnte er natürlich auch import_request_variables() verwenden (http://www.php.net/manual/en/function.import-request-variables.php). Dann muß er halt verdammt drauf aufpassen, daß ihm keine scripteigenen Variablen durch URL-Anhängselüberschrieben werden.

Beispiel:

Irgendwo ist $authenticated==0
Dann kommt der böse Angreifer und gibt ein:
http://bla.bla/bla.php?authenticated=1
Das ist solange nicht schlimm bis man dann import_request_variables() aufruft - dann wird $authenticated nämlich gnadenlos überschrieben!
Also: Vorsicht.

Besser wäre es, gleich alle Scripte umzustellen.

Ciao,

Harry