Hallo,

Wie sicher ist mein PHP-Quellcode auf dem Server?

Ziemlich.

Der Status, ob man eingeloggt ist wird mit Formularen und input-hidden-tags und der Post-Methode an das nächste Dokument übergeben.

Das ist nicht sehr schlau.
Alles, was von der Benutzerseite kommt (also auch die Werte in einem
Formular, das mit POST uebermittelt wird) kann gefaelscht sein.
Wenn ich im HTML-Quellcode ein Hidden-Field entdecken wuerde
<input type="hidden" name="status" value="0">
dann wuerde mich das geradezu reizen, es mal mit value="1" zu versuchen...

Wahrscheinlich waeren Sessions etwas fuer Dich.
Vom Browser/Benutzer kommt nur die SessionID,
aber kritische Dinge (z.B. Status "eingeloggt"/"nicht eingeloggt")
sind nur auf dem Server gespeichert.

Lies mal das ganze Kapitel zur Sicherheit in der FAQ:
http://www.dclp-faq.de/ch/ch-security.html
(Auch der Rest der FAQ ist lesenswert...)

Kommt man an den unkompilierten php-Quellcode?

Ja, wenn man FTP-Zugang (oder aehnliches) zum Server hat.
Via Web normalerweise nicht.
http://www.dclp-faq.de/q/q-php-code.html

Kann man die mit POST gesendeten Variablen manipulieren?

Ja. Ziemlich leicht.
Man kann z.B. das Formular lokal speichern, manipulieren und wieder
abschicken. Und nein, auf den REFERRER kannst Du Dich auch
nicht verlassen.

Gruesse,

Thomas