Hallo Held,

das Passwort wird nicht in irgendeiner Variablen gespeichert, sondern afaik in $_SERVER["PHP_AUTH_PW"]. diese variable kannst du bei sicherer programmierung (zB register_globals=off bzw. vermeidung von globalen variablen) nicht über GET oder POST setzen.

aber unabhängig davon kannst du jedes passwort/benuztername über eine bruteforce-attacke knacken. allerdings solltest du dir folgende rechnung mal reinziehen:

es gibt 26 kleine + 26 große buchstaben + 10 zahlen (die sonderzeichen lasse ich mal außen vor) => 62 zeichen:
daher hast du zB für passwörter mit max 4 buchstaben
62^4=14.776.336 möglichkeiten mit 4 buchstaben

• 62^3=238328 mit 3 buchstaben
• 62^2=3844 ...
• 62 ...
  =============
  15.018.570 möglichkeiten  für passwörter mit MAX 4 zeichen!
  du kannst es mal für 5 und 6 ausrechnen, dann geht's richtung unendlich.
  und du weist auch nicht mal unbedingt den benutzernamen, für den das passwort passt.

du kannst aber gerne mal ein script schreiben und so eine atacke laufen lassen und laufen lassen und laufen lassen und laufen lassen...

aber rein theoretisch ist es natürlich so möglich überall einzudringen.

hochachtungsvoll,
steffen