Hiho!

Sprich: Ist GET oder POST im Spiel, muss ich vorbeugen!?

Ich glaube, das ist eine kurze aber auf den Punkt gebrachte Definition. Rein theoretisch ist es natuerlich moeglich, allein ueber einen Link in einem CMS oder einem 'Weiterbutton' eine Injection zu starten, da von dort immer irgendeine Variable kommt, die ausgewertet wird. Diese kann, da clientseitig, natuerlich immer manipuliert und eventuell missbraucht werden.

Das wiederum koennte sich umgehen lassen, indem man mit Sessions arbeitet und dem Client gar nicht mitteilt, was man so fuer Variablen braucht. Wenn der Client nur ein 'Weiter' sendet und nicht ein ID=02 gibt es dort auch keine Angriffsmoeglichkeiten, trotz get/post.