Hey,

Ansonsten sollte die Variante aber eigentlich sicher sein. Die abgefragten Daten können ja nur da sein, wenn vorher eine entsprechende Anmeldung erfolgreich war.

Genau, woher sollen die Werte sonst herkommen.
Das ist ja genau die Frage.
Kann man das irgendwie manipulieren.
Anmelde Daten an ein Script zu schicken, dass gar keine Authentifizierung benötigt.

Hm, aber evtl. kann man ja eine 2. Endung (.sphp oder so) einführen, die ebenfalls von PHP ausgeführt wird und dann den Schutz auf diese Endung legen?

Ja ne,

Weil in dem config-Verzeichnis worüber man sich anmeledet auch der tinymce drin ist...

:-)

Kalle