Tach!

Die Schnittstelle soll sowohl mit POST als auch mit GET funktionieren. Mit $_REQUEST würde ich auch $_COOKIE zulassen wäre das ein Sicherheitsproblem?

Man kann es deaktivieren, beziehungsweise genau konfigurieren, was und in welcher Reihenfolge für $_REQUEST berücksichtigt werden soll. Einen Wert als Cookie zu übergeen ist für einen Bot-Programmierer nicht viel schwerer als Daten mit GET/POST zu übergeben. Aus der Sicht deiner Anwendung kommen auch Cookies vom Client und sind damit nicht besser oder schlechter als alle anderen vom Client kommenden Daten.

dedlfix.