use Mosche;

Der einzige Angriffspunkt ist imo der Moment des Einloggens, wenn
das Passwort per Klarnamen an das Skript geschickt wird.

Die einzige Möglichkeit wäre hier SSL, oder?

Es ist eine Möglichkeit.
Bitte bedenke, wie der HTTP-Authentifizierungsmechanismus (".htaccess") funktioniert: der Client (Browser) schickt bei jedem Request Username/Passwort an den Server. Dadurch wird die Möglichkeit, diese abzufangen und mitzulesen, deutlich erleichtert.

Ich hab jetzt nur keine Ahnung, ob ich das bei mir ändern kann... das steht doch normalweise in der httpd.conf? Da lässt mich mein Anbieter doch sicherlich nicht dran... oder gibt es andere einfachere Möglichkeiten, diese Startdateien festzulegen?

http://httpd.apache.org/docs-2.0/mod/mod_dir.html.en#directoryindex sagt folgendes:
"Context: server config, virtual host, directory, .htaccess"

Dritte Frage:
Einfach das $-Zeichen für eine Variable vorne dransetzen und wohlfühlen... *g*

Ah, cool, danke. Geht das nur mit PHP oder auch mit einem Perl-Cgi?

Das geht zum Glück nur mit PHP. Inzwischen haben aber selbst PHP-Programmierer festgestellt, daß diese Erleichterung sehr große Lücken in ein Skript reißen _kann_. Verzichte lieber auf dieses "Feature" (register_globals off) und benutze die richtigen Variablen ($_POST, $_GET).

Alle PHP-Angaben ohne Gewähr, bin kein PHP-Hacker.

use Tschoe qw(Matti);