Kann mir jemand erklären, warum Name und Passwort voreingetragen sind?

Ich vermute: Weil der Benutzer zuvor seinen Browser befahl: "Speichere diese Daten und hol Sie raus, wenn ich sie eintragen soll." Das geht mit einem Klick...

Wie man das verhindert? <input type="text" autocomplete="off" ...>

Wenn man ganz sicher gehen will vergibt man für die inputs zufällige Namen und speichert diese in einer session, holt diese dann wieder raus:

also statt:

<input type="text" name="username">

und dann:

... $_POST['username']

zu verarbeiten

wird jedes Mal ein neuer zufälliger Name gebildet

$_SESSION['username_inputname']="ZUFALLgjcwzcrjeg56354vghv";
und <input type="text" name="ZUFALLgjcwzcrjeg56354vghv">

und dann:

... $_POST[$_SESSION['username_inputname']]

verarbeitet. Dito für das Passwort.

Jörg Reinholz