Ok, wenn es sowas gibt, dann kann es tatsächlich das Script sein. Musst halt sicherstellen, dass das Script nur das bestimmte File ändert und dass kein Fremder da ran kommt. Das ist z.B. der Grund, warum ich das online Datei-Bearbeiten bei WP etwa auch verboten hab - man weiß ha nieDas veränderte File ist ein templatefile, das aus dem backend geändert werden kann.
Häufiges Problem bei der Geschichte ist ja, dass man da eventuell auch ohne Login ran kommt und die Daten direkt per Post übermitteln kann. Also immer und überall prüfen, ab der Nutzer überhaupt berechtigt ist das Script zu nutzen. Und das auch nicht nur beim Aufruf, sondern auch noch mal beim Absenden der Daten bzw. vor der Datenverarbeitung.
