Hallo

das Passwort wird nicht in irgendeiner Variablen gespeichert, sondern afaik in $_SERVER["PHP_AUTH_PW"]. diese variable kannst du bei sicherer programmierung (zB register_globals=off bzw. vermeidung von globalen variablen) nicht über GET oder POST setzen.

Na das stimmt aber nicht!
Ich kann mittels $_get sehr wohl die "falschen" Passwörter einlesen!
Viele Grüße aus Berlin
TomIRL