Hallo,

was mir jedoch unklar ist, wie der zugang zum ftp-server und dessen datei-verwaltung (upload, delete, download, neuer ordner) OHNE login bewerkstelligt wird.

du hast es noch immer nicht verstanden:

Ersetzt den FTP Client / ist kein FTP Client

Das System ERSETZT den FTP-Client, ist aber selbst keiner. Es braucht daher auch nicht mit dem FTP-Server Verbindung aufzunehmen, sondern greift direkt auf das Dateisystem des Hosts zu.
Und deshalb: Ja, solange jeder Hinz und Kunz auf dieses Script zugreifen kann, kann auch jeder Hinz und Kunz deine Dateien auf dem Server lesen, löschen, verändern, ersetzen, und neue hinzufügen.

DAS *IST* EIN KRITISCHES SICHERHEITSRISIKO!

So long,
 Martin