Hallo,

Der Kunde sollte einfach den Service nutzen können. Keine Includes oder sonstigen Driss sondern schlichte Frage-Antwort-Spielchen:

[SSL-Verbindung]
Kunde: gib mir eine Liste aller Filme auf denen ein Mops zu sehen ist
Host: Ihre ID bitte
Kunde: ID
Host: 1,"Kleine Hunde, Teil 22";2,"Möpse in allen Farben"; ...

Der Kunde verfährt also einfach so, als ob er die Datenbank selber abfragt, jedoch stattdessen eine einfach zu bedienende API bekommt. Gibt der Kunde euch ein Template, schmeißt ihr halt einfach alle Daten da rein.

Okay, das ist ein Ansatz für eine Lösung. Letztendlich ist es ja wurscht, ob der Kunde nun eine einzige Sctiprzeile oder einen ganzen Code in seine Page einbettet. Wesentlich sind genannte Vorraussetzungen, wie die dass die Files und die Datenbank auf Host-Seite liegen und die Ergebnisse nicht als Frames oder andersartig fremde Seiten integriert sind, sondern Teil des Kunden-Webauftritts. Ich bin da nich so fit drin, aber hat es was Socket-Verbindungen zu tun? Sollte man an einer Art API bauen wie sie z.B. PayPal anbietet?

Ob man denen sagen soll, das das ein Sicherheitsloch, groß wie ein Braunkohlentagebau ist?

Ich muss allerdings gestehen, dass Du zwar dankenswerterweise auf die immensen Sicherheitsrisiken aufmerksam machst, aber bisher kein einziges Beispiel oder keine konkrete Gefahr formuliert hast. Da muss ich Dir dann wohl einfach glauben ;-)

Viele Grüße.

Mazze