Wie sicher ist mein PHP-Quellcode auf dem Server?

wenn noch andere leute auf dem server scripte ablegen dürfen, nicht sehr.
es reicht, mit einem absichtlich fehlerhaft geschriebenen script den php-interpreter abzuschiessen, dann liefert der apache die php-scripte ungeparst aus, d.h. den source-code.
ich habe schon 3 solche fälle selbst erlebt, wo statt des erwarteten downloads der php-source übermittelt wurde.
deshalb dinge, wie z.b. die sql-abfrage mit den db-user-daten in include-dateien packen, die ausserhalb der verzeichnisse liegen, auf die der apache von aussen einen zugriff gestattet.

Mir geht es dabei nicht um den Code an sich, sondern um eine in php umgesetzte Passwortabfrage. Der Status, ob man eingeloggt ist wird mit Formularen und input-hidden-tags und der Post-Methode an das nächste Dokument übergeben. Die Benutzernamen und Passwörter stehen in einer MySQL-Datenbank.

auch für, mit post versendete formulare gibt es jede menge manipulations-möglichkeiten.
schau mal unter <www.bookmarklets.com>, was man allein alles schönes mit javascript anstellen kann.
selbst, wenn du daten nur per post und mit prüfung des referers verarbeitest, kann ich per javascript den source der seite beliebig manipulieren, auch ohne die seite erst local zu speichern.

und verlass dich auf keine beschränkungen, die du in ein formular mit eingebaut hast, wie etwa die maximale länge eines strings. prüfe den inhalt jeder variable vor der verarbeitung auf zulässige zeichen, max. länge etc.

Kommt man an den unkompilierten php-Quellcode?

geht so

Kann man die mit POST gesendeten Variablen manipulieren?

kinderspiel

Kann man in die MySQL-Datenbank einbrechen?

schwer, wenns keine sicherheitslücken gibt

mit freundlichen grüssen aus berlin, raik