Hi,

Aber wie dem auch sei, das ändert nichts daran, dass ein Browser nicht mit Passwortdaten in der Gegend herumschmeißen darf.

Dann gib sie halt nicht so ein! (Shit in, Shit out ;->)

Dieses Verhalten (das Beibehalten von user:password im URL) war früher übrigens usus! So waren die "berühmten" @Domains bei Massenprovidern möglich (hier wurden diese Infos nicht für HTTP-Auth, sondern zwecks Weiterleitung auf Pseudo-Subdomains verwendet).

In diesem Sinne: ich suche einen sicheren Erkennungsmechanismus (PHP), mit dem solche Eventualitäten abgefangen werden können.

parse_url() teilt einen URL in seine Bestandteile auf - auch user:password, die in PHP in URLs generell erlaubt sind.

Gruß, Cybaer