Hallo,

Mit diesem Request übergebe ich bestimmte POST Variablen (z.B. das SQL Statement) an die geladene DB-Zugriff.PHP.

Wieso schickt der Client SQL-Befehle an den Server? Wieso führt die serverseitige Software einfach so SQL-Befehle aus, die ihr von fremden Leuten zugerufen werden? Du führst dieses eingegebene SQL doch nicht etwa ungeprüft aus? Wenn nein, ist dir klar, dass diese POST-Eingaben beliebig manipuliert werden können?

Über eine selbsgebaute JavaScript Funktion wird XMLHttpRequest.responseText in ein JS Array umgewandelt.

Du brauchst nichts umwandeln, wenn du einfach JSON, also direkt JavaScript-Code als Ausgabeformat verwendest und die Serverantwort mit eval() ausführst.

Lange Rede kurzer Sinn: Über Tools wie FireBug (oder allgemein in Quellcode Ansicht) kann ich den SQL Befehl einsehen. Stellt es eine Sicherheitslücke dar, wenn potentielle Unruhestifter sehen wie meine Tabellen / Einträge benannt sind.

Na das ist das kleinste Problem. SQL-Befehle haben weder in deinem HTML noch in deinem JavaScript etwas zu suchen, es sei denn, du baust ein Admin-Interface zur Datenbank.

Welche Sicherheitsrisiken gibt es allgemein beim XMLHttpRequest?

Allgemein gilt: Problem Exists Between Keyboard And Chair (PEBKAC).

Mathias