wenn wir jetzt mal bei der auszahlung bleiben:
diese verwendet die session variable für die uid, also kann man über post/get parameter die uid nicht einschleusen, daher muss er, wenn er tatsächlich nicht in der db existiert (was ich mir absolut nicht vorsstellen kann, aber es wird wohl stimmen), irgendwie diese session variable gesetzt haben.
und eingeloggt muss er ja quasi auch sein, ansonsten kann man ja die datei auszahlen.php gar nicht verwenden.
du kannst ja die klamm id an die admins von klamm melden, damit die den ganz sperren.
aber interessieren würde mich das schn, wie er das geschafft hat, ohne sich anzumelden eine auszahlung zu tätigen...