Hallo

Es läuft wie folgt ab: In der Anwendung löse ich bestimmte Ereignisse aus, die einen XMLHttpRequest starten. ...

Bis hierher JavaScript

Mit diesem Request übergebe ich bestimmte POST Variablen (z.B. das SQL Statement) an die geladene DB-Zugriff.PHP.

Nein, die DB-Zugriff.PHP ist nicht geladen, sondern der Server, an den du deinen Request richtest, führt sie, in dem Moment, in dem du sie anforderst, aus. Allerdings ist die Übergabe eines SQL-Statements mit JavaScript, wie du selbst schon feststelltest, ein Sicherheitsloch.

Lange Rede kurzer Sinn: Über Tools wie FireBug (oder allgemein in Quellcode Ansicht) kann ich den SQL Befehl einsehen. Stellt es eine Sicherheitslücke dar, wenn potentielle Unruhestifter sehen wie meine Tabellen / Einträge benannt sind.

Übergebe dem PHP-Skript mit dem Request statt des fertigen Statements zusätzlich zu den Nutzdaten Parameter, mit dem es die gewünschte Aktion, z.B. ein SQL-Statement zusammenzubauen, auszuführen und dessen Ergebnis zurückzugeben, auswählt.

Welche Sicherheitsrisiken gibt es allgemein beim XMLHttpRequest?

Solange du nicht per HTTPS mit dem Server kommunizierst (egal ob per Ajax, dem Auslösen eines Links (mit Parametern) oder das Absenden eines Formulars), werden alle übermittelten Daten im Klartext verschickt und sind somit auslesbar.

Tschö, Auge