Hallo,

wenn man das aus Sicherheitsgründen unbedingt genau wissen muss, kann man mal für eine Zeit lang die Requestdaten mitloggen. Dazu kann man eventuell auch das Logformat ändern. Dazu muss man selbstverständlich Zugriff auf die Serverkonfiguration haben. Sonst muss man das in den Handlern einbauen.

Und damit man die ermittelten Daten nachher ggf. juristisch verwerten darf, sollte die Datenschutzerklärung entsprechend angepasst sein!

Und alternativ kann man in allen Verzeichnissen, in denen kein POST vorgesehen ist, diesen verbieten (z.B. in .htaccess-Dateien). Siehe auch Apache Dokumentation zu Limit

LG
localhorst