Hi,

Ich hatte es extra mit POST probiert, weil mir GET auf den ersten Blick auf jeden Fall zu gefährlich erschien.

sich nackt von einer Klippe zu stürzen ist lebensgefährlich. Das Anziehen eines Nachthemdes mag zwar einen Schutz bieten, verbessert die Lage aber nicht wirksam.

du könntest den Zugang zu deiner MySQL-Installation auch direkt öffentlich machen, falls deine DB-Zugriff.php beliebige Statements von außen zulässt.
Es kommt doch drauf an, wie man "von außen" definiert!?

Außerhalb des Servers.

Laut Definition könnte man per XMLHTTPRequest nur auf Dateien, die innerhalb des gleichen Verzeichnisses bzw. der Domain liegen, zugreifen.

Das ist eine Beschränkung, die den Client betrifft. Ein XmlHttpRequest ist dennoch nichts anderes als ein HTTP-Request - er kann von *jedem* in *beliebiger* Form hergestellt werden. Mit allen Daten, die Du erwarten kannst. Jeder Request ist fälschbar.

Also könnte doch nach meinem Verständnis nur Derjenige, der Zugriff auf FTP / Webspace hat,die diese Requests beeinflussen

Diejenigen, die ein (anderer) Besucher Deiner Website absetzt: Ja. Nicht jedoch die, die er selbst mit einem Client seiner Wahl erzeugt. Ob GET oder POST, ob mit oder ohne Referer, mit jedem User-Agent-String, und auch mit einer frisch gefälschten 300-Euro-Banknote. Dein Server wird's nicht bemerken.

ODER kann ich als Seitenbesucher diese Anfragen aktiv manipulieren (Über DebuggerTools wie z.B. FireBug)?

Traue *niemals* Daten, die von einem Client stammen. Nie.

Gut, ich dachte bisher, dass die Übergabe mit POST recht sauber und sicher wäre :(

"Sicher" als Positiv existiert nicht. Nur als Komparativ und (sehr selten) als Superlativ.

Schade, wenn es nicht so klappt wie ich mir das vorstelle :(

Willkommen im World Wide Web.

Cheatah