Hallo!

um an deinen PHP Code zu kommen, muss jemand deinen FTP zugang benutzen.

muss nicht, viele Wege führen nach Rom ;-)
Man sollte z.B. nicht eigene Upload-Scripte upload.php nennen und ganz offen auf dem Server rumliegen lassen. Und bedenke dass Dein FTP-Passwort jedemal im Klartext übertragen wird, kann jeder dedr Zugriff auf eines der Netzwerke zwischen Dir und dem FTP-Server hat mitlesen.

|Kommt man an den unkompilierten php-Quellcode?
Nö,

Hä? Wohl eher als an kompilierten, oder?

|Kann man die mit POST gesendeten Variablen manipulieren?
Man kann ein eigenes Formular (auf dem PC) machen und die Eingaben dann schicken lassen.
Also nie sehr wichtige Daten mit hidden Feldern schicken (hidden: eingelogt ja bzw. nein)

Richtig. Und alles was Dein Browser an den Server sendet siehst Du hier: http://schroepl.net/cgi-bin/http_trace.pl
Wie Chistian schon sagte, _alle_ diese Daten sind nach Belieben manipulierbar, und das sidn die Daten die Dir der Webserver zur Vrerfügung stellt. Nur weil der Webserver diese Daten verwendet heißt das lange nicht dass Du ihnen vertrauen kannst.

|Kann man in die MySQL-Datenbank einbrechen?
Klar, die meisten usen myPHPAdmin ....

"benutzen" heißt das ;-)
Und das ist auch nur einer von vielen Wegen. Oft wird der Fehler gemacht dass die Datenbank nicht nur auf localhost erreichbar ist, sondern nach außen einen Port abhört, obwohl man das im Normalfall nicht braucht/will.
PHPMyAdmin sollte man _immer_ mit einem Passwort schützen!

Grüße
Andreas