Eigentlich gings mir auch gar nicht um die "Lücke" an sich, sondern um die Klamm-IDs, sozusagen die Schwarzen Schaafe, die es bei mir ausnutzen wollten.
Weil ich habe die Erfahrung gemacht, dass wenn ein User A ausnutzt, dann wird er auch B und C ausnutzen...
(Wie man sowas behebt weiß ich selber, dazu kenn ich mich dann doch relativ gut in PHP/mySQL aus (ist ja schließlich auch mein Beruf). Ich habe bisher ganz einfach gar nicht darauf geachtet, weil das Userprofil ja aus dem Original-Script stammt.)