Der Admin, der ein "Klickmich.bat" sieht und blindlings draufklickt, gehört wohl als BOFH (mit B für braindead) eingruppiert.

Der ist „bestraft genug“, der arbeitet immer noch in der Bude. Das ist derselbe, welcher den Rechner der Chefsekretärin komplett für jeden zum Lesen und Schreiben frei gegeben hat - was mir am ersten Arbeitstag den Vorwurf einbrachte, ich würde „hacken“. Dabei hatte ich mich nur nur klickend über die Netzwerkumgebung kundig gemacht. Das nächste Mal melde ich das nicht, sondern passe meinen Arbeitsvertrag an zwei Stellen (Gehalt und Urlaub) an.

es ist aber doch so, dass PHP im tmp-Ordner auch nur tmp-Namen verwendet.

Und stell Dir vor: Nach Beendigung der Bearbeitung des Requests wird das Zeug im TempDir sogar gelöscht.

Deshalb kopieren es eben manche Skripte - bequemer Weise ohne Authentifizierung - vorher wo anders hin und glauben an übermittelte Dateinamen und Content-/Mime-Typen. U.a. ein (nicht mehr existentes) Wordpress-Plugin. (Das hätte übrigens auch eine ~/.ssh/authorized_keys schreiben können - Hacker sind halt doch blöd...)

Und ich weiß auch nicht, ob das X Bit überhaupt beachtet wird, wenn ich das Script nicht direkt starte, sondern bash oder sh aufrufe und dem das Script als Argument übergebe.

Das wird es durchaus. Aber eben das von /usr/bin/sh oder /usr/bin/bash (/bin/sh oder /bin/bash bei nicht ganz so modernen Betriebssystemen). Deshalb brauchen ja PHP-Skripte (so man diese via Webserver startet) kein x-Bit: Ausgeführt wird PHP.