Lustig das du selbst nur Lösungen für 1 & 2 hast, was eigtl. die selbe Lücke darstellt.
UserInput traut man nicht und das ist wirklich Websecurity Kindergarten Stoff.

#3 Also wer sowas schreibt sollte lieber Metzger oder so werden, "authentication" in JS lulz...
#4 Rall ich einfach komplett nicht. Kann mir einer mal auf die Sprünge helfen wo hier Lücke sichtbar sein soll (ohne zu raten wie das Handling dazu im BE ausschaut)?