Hi!

sqlconnect ist in fast jeder php included. [...] Deshalb wird mit jedem Klick eines Users die sqlconnect ausgeführt.

Nein, sie wird nur bei jedem Request berücksichtigt, der an PHP weitergereicht wird. Dazu musst du deinen Apachen so konfigurieren, dass er das wirklich bei jedem Request macht, zumindest für das fragliche Verzeichnis. Es nützt ja nichts, wenn das für irgendwelche anderen Request geregelt ist. Wenn diese (zu verkehrsschwachen Zeiten) nicht vorkommen, greife ich munter auf die ungeschützten Dateien zu.

Warum sollte das nicht funktionieren? Wenn viele User online sind, ist die Zeit, die ein Hacker dann hätte so kurz, dass es nicht mehr unsicher ist.

Sicherheit hat nichts mit Wahrscheinlichkeit zu tun. Die Kuh ertrinkt auch in einem durchschnittlich 1 Meter tiefen See.

Lo!