Tach!

Ich finde es jetzt aber nicht sonderlich sicher, wenn das Kennwort in der URL übertragen wird (z.B. www.xyz.de/scripts/getImage.php?userid=1111&userpw=test&image=test.jpg).

Bei einer HTTPS-Verbindung wird zunächst die Verschlüsslung ausgehandelt und dann die gewünschte URL über diesen verschlüsselten Kanal übertragen. Mit HTTPS wäre dein Problem keins mehr.

Und wie würdet ihr das lösen?

Ohne HTTPS gäbe es noch einen POST-Request, bei dem das Passwort aber auch im Klartext, nur eben nicht in der URL übertragen wird. Und du könntest auf Sessions setzen, dann wird nach der Anmeldung nur noch der Session-Key übertragen. Der kann zwar von einem Mitleser mitgenutzt werden, aber er verfällt irgendwann. Wenn dir das als "Sicherheit" reicht, brauchts kein HTTPs.

dedlfix.