Ja, danke, tatsächlich, ich bin nicht der einzige... super, ein Usability-Test.

Ich sollte mich vllt. mal in der EE anmelden, weil das nicht hierher gehört:
Bzgl. des Angriffs auf die Bestenliste (ich war's nicht!! ) bietet sich der Ansatz "vertraue niemandem und nimm keine Daten ungeprüft entgegen" sowie "erstelle eine Positivliste und nimm nur Daten entgegen, die in diese Liste/ dieses Schema passen, an". Schütze Dich des weiteren gegen HTML-Injections, indem Du den Wert von $_POST oder $_GET auf jeden Fall mit htmlspecialchars kodierst, sowie gegen SQL-Injections, indem Du bspw. SQL-Schlüsselwörter und Kommentareinleitungen (--, #, /*) und das Semikolon als Befehlstrenner ausschließt. Letzteres lässt sich gut mit RegExp machen.

lg Caps