Hallo Matthias,

Kommt man an den unkompilierten php-Quellcode?

Normalerweise nicht.

Kann man die mit POST gesendeten Variablen manipulieren?

Ja, kann man.

Kann man in die MySQL-Datenbank einbrechen?

Normarlwesie nicht.

(Bei allen dreien: Wenn ja - wie leicht?)

Bei PHP-Quellcode und MySQL-DB: Im Normalfall kann man davon ausgehen, dass diese sicher sind. Es gibt natürlich Sicherheitslücken in jeder Software und auszuschließen, dass jemand sich unbefugt Zutritt verschafft, kann man nicht, jedoch ist dies - bei korrekter Konfiguration und regelmäßigen Sicherheitsupdates - extrem unwarscheinlich. Was mir dagegen eher Sorgen macht, ist Dein Script an sich: Wie sicher ist dies programmiert? Dazu kann ich Dir natürlich keine Auskunft geben. Um die Sicherheit zu überprüfen, ist es hilfreich, sich in einen Angreifer hineinzuversetzen. Gehe davon aus, dass der Angreifer den kompletten Sourcecode des Scripts kennt (bis auf fest einprogrammierte Passwörter für Datenbanken o.ä.) und versuche mit diesem Wissen das Script auszutricksen. Wenn Dir das gelingt, dann ist das Script nicht sicher; wenn Dir dies jedoch nicht gelingt, ist dies schon mal ein gutes Zeichen. (allerdings keine Garantie, vielleicht ist jemand besser als Du...)

Zu den POST-Daten: Diese sind beliebig manipulierbar, da sie vom Client kommen. Du kannst Dich auf *nichts*, aber auch *gar nichts*, was vom Client an den Server kommt, verlassen, diese Daten, sind *beliebig* veränderbar. Zu Daten, die vom Client kommen, zählen u.a. URL-Parameter, POST-Daten, Cookies sowie alle Servervariablen, die mit HTTP_ anfangen. (HTTP_REFERER, HTTP_USER_AGENT, HTTP_ACCEPT_LANGUAGE, ...)

Viele Grüße,
Christian